Hack en cours sur Solana : les liquidités de Raydium (RAY) se font siphonner

Un hacker aurait pris le contrôle du compte propriétaire de Raydium, et est en train de vider les liquidités présentes dans ses coffres. On fait le point sur le hack en cours sur le réseau blockchain Solana (SOL).

PRISM lance l’alerte : les liquidités de Raydium disparaissent

Raydium est le principal automated market maker (AMM) sur Solana. Cette plateforme d’échange décentralisée permet de déposer des fonds (et de les verrouiller) dans ses coffres numériques. On parle de pools de liquidités : un ensemble de smart contracts, contenant les différents jetons. Les fournisseurs de liquidités (liquidity providers ou LP) reçoivent alors, lors de leur dépôt, des jetons (LP tokens) permettant de garder la trace de leurs fonds. Ces LP tokens sont ainsi créés lors d’un dépôt, et détruits lors d’un retrait.

PRISM, un agrégateur de liquidités sur Solana permettant de réaliser des échanges de jetons (swaps), a remarqué une activité pour le moins étrange.

🚨🚨🚨🚨🚨
There seems to be a wallet is draining LP Pools from Raydium liquidity pools using admin wallet as a signer without having/burning LP tokens.

We withdrew protocol provided PRISM/USDC liquidity from Raydium

WITHDRAW YOUR PRISM/USDC LIQUIDITY FROM RAYDIUM

— PRISM (@prism_ag) December 16, 2022

Un hacker serait donc en train de vider les pools de liquidités de Raydium, sans posséder les LP tokens correspondants. Une information confirmée par Raydium, qui parle de faille (exploit) :

An exploit on Raydium is being investigated that affected liquidity pools. Details to follow as more is known

⁰Initial understanding is owner authority was overtaken by attacker, but authority has been halted on AMM & farm programs for now
Attacker accnthttps://t.co/ZnEgL1KSwz

— Raydium (@RaydiumProtocol) December 16, 2022

Le compte incriminé est visible sur SolanaFM :

Les transactions sont également visibles sur SolScan, l’explorateur de la blockchain de Solana :

https://solscan.io/account/AgJddDJLt17nHyXDCpyGELxwsZZQPqfUsuwzoiqVGJwD

Pour l’instant, l’attaque concernerait 4 jetons (USDC, SOL, ETH, ZBC).

>> Franchissez le pas : protégez vos cryptos des hacks en achetant votre Ledger (lien commercial) <<

Une fuite de clés privées ?

Comme l’a fait remarquer OtterSec (audit et sécurité blockchain), le pirate utilise répétitivement l’instruction withdraw_pnl.

Les transactions signées correspondent à la clé publique du compte propriétaire des contrats de Raydium (HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv).

Cela signifie que la clé privée associée semble avoir été compromise. Il ne s’agirait donc pas d’une faille présente dans les smart contracts de l’AMM.

Les équipes de chercheurs en cybersécurité d’OtterSec assurent travailler avec celles de Raydium afin de trouver une solution.

En attendant, il est fortement recommandé de retirer les liquidités apportées sur Raydium. DeFi Land a réalisé une courte vidéo pour les utilisateurs qui souhaitent savoir s’ils ont des LP tokens sur Raydium :

⚠️ For the folks, who do not know how to check if they have LP or how to remove it from Raydium, check out this video. Hope it helps.

Stay strong and make sure your funds are safe. pic.twitter.com/roIche0v9i

— DeFi Land (@DeFi_Land) December 16, 2022

Il faudra suivre de près l’évolution de la situation. Raydium et OtterSec assurent qu’il communiqueront sur l’affaire dès qu’il y aura de nouvelles mises à jour.

Le Ledger Stax vient d’être révélé, et les fans de crypto se l’arrachent ! Pour être assuré de ne pas se faire voler ses cryptomonnaies, il est temps d’aller réserver votre nouveau coffre-fort numérique en vous rendant immédiatement sur le site officiel Ledger (lien commercial) !