Hack en cours sur Solana : les liquidités de Raydium (RAY) se font siphonner

Un hacker aurait pris le contrôle du compte propriétaire de Raydium, et est en train de vider les liquidités présentes dans ses coffres. On fait le point sur le hack en cours sur le réseau blockchain Solana (SOL).

PRISM lance l’alerte : les liquidités de Raydium disparaissent

Raydium est le principal automated market maker (AMM) sur Solana. Cette plateforme d’échange décentralisée permet de déposer des fonds (et de les verrouiller) dans ses coffres numériques. On parle de pools de liquidités : un ensemble de smart contracts, contenant les différents jetons. Les fournisseurs de liquidités (liquidity providers ou LP) reçoivent alors, lors de leur dépôt, des jetons (LP tokens) permettant de garder la trace de leurs fonds. Ces LP tokens sont ainsi créés lors d’un dépôt, et détruits lors d’un retrait. Ils permettent récupérer ses intérêts relatifs aux jetons prêtés et verrouillés.

PRISM, un agrégateur de liquidités sur Solana permettant de réaliser des échanges de jetons (swaps), a remarqué une activité pour le moins étrange.

Un hacker serait donc en train de vider les pools de liquidités de Raydium – plus précisément les récompenses des liquidity providers. Il ne possède pas les LP tokens correspondants. Raydium a confirmé l’information, et parle de faille (exploit) :

Le compte incriminé est visible sur SolanaFM :

Les transactions sont également visibles sur SolScan, l’explorateur de la blockchain de Solana :

https://solscan.io/account/AgJddDJLt17nHyXDCpyGELxwsZZQPqfUsuwzoiqVGJwD

Pour l’instant, l’attaque concernerait 4 jetons (USDC, SOL, ETH, ZBC).

>> Franchissez le pas : protégez vos cryptos des hacks en achetant votre Ledger (lien commercial) <<

Une fuite de clés privées ?

Comme l’a fait remarquer OtterSec (audit et sécurité blockchain), le pirate utilise répétitivement l’instruction withdraw_pnl.

Raydium - Liquidity Pool V4 - Instruction

Les transactions signées correspondent à la clé publique du compte propriétaire des contrats de Raydium (HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv).

Cela signifie que la clé privée associée semble avoir été compromise. Il ne s’agirait donc pas d’une faille présente dans les smart contracts de l’AMM.

Les équipes de chercheurs en cybersécurité d’OtterSec assurent travailler avec celles de Raydium afin de trouver une solution.

En attendant, il est fortement recommandé de retirer les liquidités apportées sur Raydium. DeFi Land a réalisé une courte vidéo pour les utilisateurs qui souhaitent savoir s’ils ont des LP tokens sur Raydium :

Il faudra suivre de près l’évolution de la situation. Raydium et OtterSec assurent qu’il communiqueront sur l’affaire dès qu’il y aura de nouvelles mises à jour.

Mise à jour (17 décembre 2022)

La team Raydium est toujours en train de mener ses investigations :

Le hacker aurait réussi à subtiliser la clef privée du compte propriétaire du pool via un cheval de Troie (trojan). Il a ensuite profité de l’accès pour drainer les frais/récompenses des fournisseurs de liquidité. Voici la liste des pools affectés :

SOL-USDC, SOL-USDT, RAY-USDC, RAY-USDT, RAY-SOL, stSOL-USDC, ZBC-USDC, UXP-USDC, whETH-USDC.

Les fonds siphonnés représentent l’équivalent de 4,4 millions de dollars.

Raydium a mis en place deux solutions :

  • Révocation de l’autorité du propriétaire du compte ;
  • Offre de 10 % des fonds volés si le hacker décide de les rendre.

Not your keys, not your coins !

Le Ledger Stax vient d’être révélé, et les fans de crypto se l’arrachent ! Pour être assuré de ne pas se faire voler ses cryptomonnaies, il est temps d’aller réserver votre nouveau coffre-fort numérique en vous rendant immédiatement sur le site officiel Ledger (lien commercial) !

Morgan Phuc

Cofounder @ 8Decimals &amp; Partner @ Node Guardians - Making crypto great again - Journal du Coin / BitConseil