旧版AMM V3系统遭利用,流动性被非法提取

雷迪姆团队披露,其于2021年已淘汰的Legacy AMM V3程序因铸币验证逻辑缺陷,遭攻击者利用。该漏洞使攻击者可绕过流动性比例检查,通过伪造流动性池铸币地址,非法移除五处闲置池中的资产。受影响池包括Sollet USDT–RAY、Sollet ETH–RAY、SRM–RAY、USDC–RAY及RAY–SOL,总损失达134万美元。

漏洞本质为逻辑错误,非密钥或权限问题

此次事件源于程序对LP代币供应量的验证机制失效。由于旧版本依赖实际代币供应量进行比例校验,而新创建的铸币未被正确识别,攻击者借此构造虚假流动性,成功绕过安全控制。整个过程不涉及密钥泄露、权限提升或系统级入侵,仅限于特定废弃模块的逻辑缺陷。

主网与用户端完全不受影响

雷迪姆强调,当前主网运行程序、软件开发工具包(SDK)及去中心化应用(dApp)均未使用该旧版协议,且自2021年起用户便无法通过界面与这些池子交互。因此,所有活跃用户和现有系统均无暴露风险。攻击范围被严格限定在已弃用的遗留代码中。

项目方迅速响应,承诺全额补偿

雷迪姆财库已宣布将对受损失的五个池子进行全额资产补偿,涵盖被抽走的150,177枚RAY、5,603枚SOL及893,700枚USDC。同时,核心团队已启动对所有主网程序的全面安全审查,重点排查类似逻辑缺陷。当前活跃系统已采用虚拟供应机制,能准确验证LP铸币地址与账户数据,确保安全性。

透明披露增强社区信任

项目方公开了攻击者钱包地址(4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk)及受影响池明细,展现高度透明度。此举旨在强化社区对平台治理与应急响应能力的信心,进一步巩固去中心化生态的信任基础。