Raydium의 유동성 풀 해킹 사건
Raydium은 Solana에 구축된 다섯 개의 구형 유동성 풀에서 약 130만 달러가 유출된 사건에 대해 전액 환불을 약속했습니다. 블록체인 보안 회사 PeckShield와 온체인 조사 기관 Specter에 따르면, 이번 공격은 현재 활성 Raydium 풀에서 더 이상 사용되지 않는 구형 자동화 시장 조성기 인프라를 목표로 했습니다.
프로토콜 측은 현재 사용자와 활성 유동성 풀은 이번 사건의 영향을 받지 않았다고 밝혔습니다. Specter는 130만 달러 상당의 암호화폐가 유출되었다고 보고했습니다.
공격의 경과
공격자는 처음에 KuCoin에서 자금을 조달한 후, 도난당한 자금을 Solana에서 이더리움으로 브리지한 뒤, 810 ETH를 Tornado Cash에, 7 ETH를 FixedFloat에 예치했습니다. Specter가 공유한 세부 사항에 따르면, 공격자는 Raydium의 초기 AMM 설계와 관련된 비활성 풀의 검증 취약점을 악용했습니다.
“가짜 민트 주소를 사용하여 공격자는 체크를 우회하고 영향을 받은 풀에서 유동성을 인출할 수 있었습니다.”
도난당한 자산에는 약 150,177 RAY 토큰, 5,603 SOL, 893,700 USDC가 포함되었습니다. Specter는 공격자가 처음에 KuCoin을 통해 자금을 받았고, 이후 도난당한 자산을 체인 간에 이더리움으로 이동했다고 보고했습니다.
Raydium의 대응
공격 이후 Raydium은 영향을 받은 풀들이 활성 사용자 참여가 없는 구형 프로그램에 속한다고 밝혔습니다. 팀은 모든 영향을 받은 자산이 프로젝트 재무에서 보장될 것이라고 덧붙이며, 여전히 구형 풀에 노출된 사용자에게 손실이 발생하지 않도록 했습니다.
Raydium은 2021년에 단계적으로 폐기된 구형 AMM V3 프로그램에서 무단으로 유동성이 제거되는 공격에 대해 인지하고 있습니다. 현재 Raydium의 사용자들은 이 공격의 영향을 받지 않으며, UI를 통해 이러한 풀과 상호작용할 수 없었습니다.
보안 사건의 반복
PeckShield의 추적 데이터에 따르면, 도난당한 자산의 일부는 공격 후 프라이버시 도구를 통해 라우팅되었습니다. 보안 회사는 약 810 ETH가 Tornado Cash에 예치되었고, 또 다른 7 ETH가 FixedFloat로 이체되었다고 보고했습니다. Tornado Cash를 통한 자금 이동은 자산 추적을 복잡하게 만들 수 있습니다.
PeckShield는 Solana에서 이더리움으로 브리지된 후의 이체를 주목했습니다. 이 믹서는 2025년 3월 미국 재무부의 제재 목록에서 제외되었습니다. 비활성 코드와 관련된 보안 사건은 탈중앙화 금융에서 반복적으로 우려되고 있습니다.
crypto.news에 따르면, Token of Power는 이번 주 초에 공격자가 토큰 잔액을 조작하고 WETH 준비금을 인출하여 유동성 풀에서 150만 달러 이상을 유출한 별도의 공격을 당했습니다. 두 사건은 서로 다른 프로토콜과 공격 방법을 포함하고 있습니다.
시장 반응
보상 약속은 Raydium에겐 새로운 것이 아닙니다. 이 프로토콜은 2022년 12월에 관리 키가 유출되어 활성 유동성 풀에서 손실이 발생한 또 다른 주요 보안 사건을 겪었습니다. 당시 거버넌스 제안은 영향을 받은 유동성 제공자에게 보상하기 위해 매입 수수료와 팀 토큰을 사용하는 것을 승인했습니다.
최신 대응은 유사한 접근 방식을 따르며, 프로젝트는 재무 자금이 사용자에게 보상하는 데 사용될 것이라고 확인했습니다. 시장 반응은 상대적으로 미미했습니다. 작성 시점의 데이터에 따르면 Raydium (RAY)은 약 0.57달러에 거래되고 있으며, 지난 24시간 동안 1% 미만 하락했습니다. Solana (SOL)도 같은 기간 동안 거의 2% 하락하여 약 63.88달러에 거래되고 있습니다.
조사자들이 도난당한 자산을 추적하는 동안, PeckShield와 Specter의 정보는 이번 공격이 Raydium의 현재 거래 시스템이 아닌 구형 인프라에 국한되었다고 시사합니다.
