Um hacker explorou uma vulnerabilidade no programa legado AMM V3 da Raydium, drenando aproximadamente US$1,34 milhão de cinco pools de liquidez que estavam descontinuados desde 2021.
A equipe da Raydium confirmou que estava ciente da remoção não autorizada de liquidez e se comprometeu a cobrir as perdas.
O ataque visou um código que a exchange descentralizada baseada em Solana descontinuou há cinco anos.
De acordo com Infra, membro da equipe da Raydium, nenhum usuário atual foi afetado porque os pools estavam inacessíveis pela interface da plataforma há anos. Infra também afirmou que “a compensação total será tratada pelo tesouro da Raydium.”
Como o atacante conseguiu explorar os pools descontinuados? Segundo Infra, “a vulnerabilidade foi causada por uma falha lógica autônoma, não por comprometimento de chave ou problema de nível de autoridade, portanto não há risco de propagação.”
O pesquisador de segurança Param afirmou no X que o atacante encontrou uma falha no código da Raydium da era de 2021. O atacante identificou cinco pools de liquidez abandonados que ainda continham fundos e gerou recibos de propriedade fraudulentos.
Esses tokens LP falsos enganaram o contrato inteligente legado, fazendo-o tratar o atacante como um provedor de liquidez legítimo, permitindo a retirada total dos ativos do pool.
A empresa de segurança blockchain F12 corroborou as submissões, rastreando o ataque on-chain. O exploit se baseou em um token LP fabricado com suprimento de apenas uma unidade. Quando o atacante enviou um pedido de retirada usando esse token, o programa antigo liberou todo o saldo do pool.
Para onde o atacante transferiu os fundos roubados? PeckShieldAlert relatou que a carteira do atacante foi inicialmente financiada através da KuCoin. Após drenar os pools na Solana, eles transferiram os fundos roubados para a Ethereum via deBridge, resultando em aproximadamente 810 ETH.
O atacante então depositou a maior parte desse saque no Tornado Cash, o protocolo de mixagem frequentemente usado para ocultar a origem das transações. Em seguida, transferiu 7 ETH através da FixedFloat, segundo a análise da PeckShieldAlert.
De acordo com a equipe da Raydium, o endereço do explorador é 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.
Código legado, risco atual Os programas atuais da Raydium ainda estão ativos, segundo Infra. O protocolo possui US$796,56 milhões em valor total bloqueado na Solana e processou mais de US$1,1 bilhão em volume DEX nos últimos sete dias, de acordo com os dados da DefiLlama.
O programa AMM V3 que foi explorado é separado dos pools atualmente em uso.
No entanto, esta não é a primeira vez que a Raydium sofre uma violação de segurança. Em dezembro de 2022, o protocolo perdeu US$4,4 milhões após o comprometimento de uma chave privada.
A violação mais recente se soma ao que se tornou um registro quase diário de exploits de cripto em 2026.
A Cryptopolitan informou anteriormente que a CertiK registrou 60 incidentes de segurança confirmados apenas em maio, totalizando US$68,3 milhões em perdas brutas, o maior número de incidentes mensais