Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 117Kompromittierung privater Schlüssel

Raydium Admin-Schlüssel-Trojaner

4,4 Mio. $ aus Raydiums Solana-Pools abgezogen, nachdem Malware den Pool-Admin-Privatschlüssel stahl und Admin-Funktionen für Gebührenentnahme nutzte.

Datum
Opfer
Raydium
Chain(s)
Solana
Status
Mittel entwendet

Am 16. Dezember 2022 verlor der führende Solana-AMM Raydium etwa 4,4 Millionen $, als ein Angreifer den Pool-Admin-Privatschlüssel durch Trojaner-Malware auf der Maschine des Admins erlangte. Der Angreifer nutzte dann legitime Admin-Funktionen, um Protokoll-Gebühren abzuziehen und Pool-Parameter zu seinen Gunsten zu manipulieren.

Was geschah

Raydiums Liquiditätspools hatten eine Admin-Autorität, die zu privilegierten Operationen fähig war: Abheben angesammelter Handelsgebühren, Anpassen von Pool-Parametern und andere Wartungsfunktionen. Diese Autorität wurde von einem einzigen Schlüssel kontrolliert.

Der Kompromiss war kein Smart-Contract-Bug — Raydiums Programmlogik funktionierte wie vorgesehen. Der Angreifer:

  1. Kompromittierte die Maschine des Pool-Admins mit Trojaner-Malware, die den Admin-Privatschlüssel extrahierte.
  2. Nutzte den Admin-Schlüssel, um legitime privilegierte Funktionen aufzurufen:
    • Zog angesammelte Handelsgebühren aus Pools direkt an Angreiferadressen ab.
    • Manipulierte Pool-Parameter (withdrawPNL und verwandte Admin-Operationen), um zusätzlichen Wert zu extrahieren.
  3. Entzog etwa 4,4 Mio. $ über mehrere Raydium-Pools.

Da jede Transaktion vom legitimen Admin-Schlüssel signiert wurde und legitime Funktionen aufrief, sah die Aktivität oberflächlich wie normale Protokollwartung aus — bis der kumulative Abfluss bemerkt wurde.

Folgen

  • Raydium pausierte betroffene Pools und rotierte Autoritäten zu einer Multi-Sig + Hardware-Wallet-Konfiguration.
  • Das Team schlug einen Kompensationsplan vor, der Protokoll-Treasury und RAY-Buybacks nutzte, um betroffene LPs im Laufe der Zeit zu entschädigen.
  • Die gestohlenen Mittel wurden von Solana weggebridget und gewaschen.

Warum es wichtig ist

Raydiums Vorfall ist ein Lehrbuch-Admin-Schlüssel-Kompromiss durch Endpoint-Malware — dieselbe Grundursache wie EasyFi (2021), bZx November 2021 und viele andere. Die Lektion ist konsistent und unglamourös: Einzelne Admin-Schlüssel auf internet-verbundenen Maschinen sind das tatsächliche Sicherheitsmodell, egal wie gut das On-Chain-Programm gestaltet ist.

Die strukturellen Lehren:

  1. Privilegierte Schlüssel gehören in Hardware-Wallets hinter Multi-Sig. Raydium betrieb einen führenden AMM mit einem einzelnen Admin-Schlüssel auf einer Maschine, die von gewöhnlicher Malware kompromittiert werden konnte. Die Migration nach dem Vorfall zu Multi-Sig + Hardware-Signing ist die Konfiguration, die vorher hätte vorhanden sein sollen.

  2. Missbrauch legitimer Funktionen ist schwerer zu erkennen als Exploits. Da der Angreifer echte Admin-Funktionen mit echten Signaturen aufrief, löste die Aktivität keine "das ist ein Exploit"-Heuristiken aus — sie sah wie Wartung aus. Anomalieerkennung auf privilegierten Funktionsaufrufmustern (Volumen, Häufigkeit, Zieladressen) ist die Verteidigungsschicht, die das fängt; Raydium hatte sie nicht so abgestimmt, dass sie auslöst.

  3. Solanas Admin-Autoritäts-Modell konzentriert Risiko. Viele Solana-Programme verwenden standardmäßig eine einzige Upgrade-/Admin-Autorität. Der Raydium-Vorfall, zusammen mit dem viel größeren Drift-Protocol-Kompromiss 2026, illustriert, dass die operative Sicherheitslage von Solana-DeFi ein wiederkehrender Schwachpunkt war, unabhängig von der Sicherheit auf Programmebene der Chain.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-raydium-hack-december-2022
  2. [02]defiteller.comhttps://defiteller.com/raydium-shares-more-details-on-its-recent-exploit
  3. [03]bitdegree.orghttps://www.bitdegree.org/crypto/news/decentralized-exchange-raydium-shares-additional-information-about-recent-hack

Verwandte Einträge