Um exploit na Raydium drenou cerca de US$ 1,34 milhão de pools legadas na Solana. O caso atingiu cinco pools descontinuadas e, segundo o protocolo, usuários atuais não sofreram impacto.

A Raydium, uma das principais exchanges descentralizadas da rede Solana, confirmou um exploit contra seu programa legado AMM V3. Como resultado, o invasor retirou aproximadamente US$ 1,34 milhão em ativos de cinco pools de liquidez inativas.

Segundo a equipe, nenhuma das pools afetadas estava acessível para usuários atuais pela interface da plataforma ou pelo SDK. Além disso, a falha envolveu validação insuficiente dos mints de tokens LP dentro do programa antigo. A Raydium também informou que vai reembolsar integralmente as perdas com recursos de sua tesouraria.

Falha no AMM V3 legado abriu caminho para o ataque

O ataque mirou pools que a Raydium descontinuou em 2021. Segundo a conta de infraestrutura do projeto no X, o programa legado AMM V3 nunca ofereceu funcionalidade de swap. Depois que a Serum encerrou suas operações, a liquidez dessas pools permaneceu parada, sem uso ativo.

Nesse cenário, o invasor identificou uma falha crítica na forma como o programa verificava os tokens LP. Em vez de confirmar o endereço legítimo do mint do LP, o sistema usava apenas a oferta do token LP para executar checagens proporcionais. Dessa maneira, a brecha permitiu a criação de um mint falso. Com isso, o invasor contornou as verificações e retirou ativos diretamente das pools.

“A Raydium está ciente de um exploit envolvendo a remoção não autorizada de liquidez de seu programa legado AMM V3, que já havia sido descontinuado em 2021.”

0xINFRA no X

As cinco pools atingidas foram Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY e RAY-SOL. Ao todo, as perdas chegaram a cerca de 150.177 RAY, 5.603 SOL e 893.700 USDC.

Raydium diz que demais programas seguem protegidos

A equipe afirmou que o problema ficou restrito ao contrato legado. Em contrapartida, os demais programas da Raydium na mainnet usam um mecanismo de oferta virtual. Além disso, eles validam corretamente os mints de LP e os dados relevantes das contas. Portanto, segundo o protocolo, essa mesma classe de ataque não deve se repetir nesses sistemas.

A Raydium também esclareceu que a vulnerabilidade decorreu de um erro de lógica isolado. Ou seja, o caso não envolveu comprometimento de chaves nem permissões de autoridade. Nesse sentido, a distinção reduz o risco de propagação do problema para outras partes da arquitetura do projeto.

Fundos roubados saíram da Solana e chegaram ao Ethereum

A empresa de segurança blockchain PeckShield rastreou os movimentos do invasor após o exploit. Segundo o alerta da PeckShieldAlert, a operação recebeu financiamento inicial via KuCoin. Em seguida, depois de drenar as pools na Solana, o responsável transferiu os fundos roubados para a rede Ethereum.

Na sequência, o invasor depositou 810 ETH no Tornado Cash, enquanto outros 7 ETH seguiram para a FixedFloat. A comunidade passou a sinalizar amplamente o endereço associado ao explorador: 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk.

Com efeito, o uso de ponte entre blockchains e de ferramentas voltadas à obfuscação de transações indica uma tentativa deliberada de dificultar o rastreamento dos recursos. Esse padrão, aliás, aparece em outros ataques contra estruturas legadas do setor de finanças descentralizadas.

“O atacante recebeu financiamento inicial pela KuCoin, transferiu por ponte os fundos roubados da Solana para ETH e depositou 810 ETH no Tornado Cash e 7 ETH na FixedFloat.”

PeckShieldAlert no X

Rastreamento on-chain orienta próximos desdobramentos

Até o momento, os rastros on-chain concentram os principais elementos públicos do caso. Entretanto, a passagem por serviços de mistura e por plataformas de conversão tende a elevar a complexidade das investigações. Ainda assim, os dados ajudam analistas e empresas de monitoramento a acompanhar eventuais novos deslocamentos dos ativos.

Além disso, o episódio reforça a atenção do mercado cripto para riscos em infraestruturas antigas, mesmo quando elas já não fazem parte do fluxo principal de usuários. Para ampliar a confiança, protocolos costumam revisar códigos legados sempre que um incidente expõe falhas de verificação em contratos antigos.

O que muda para usuários e próximos passos

A Raydium afirmou que usuários atuais não tiveram exposição ao problema. Segundo a equipe de infraestrutura, nem o aplicativo descentralizado nem o SDK permitem interação com as pools legadas do AMM V3 na mainnet. Portanto, usuários comuns não conseguiam acessar os contratos comprometidos.

Além do reembolso integral pela tesouraria, os desenvolvedores centrais conduzem agora uma revisão completa de segurança em todos os programas ativos da mainnet. Dessa forma, o protocolo tenta reduzir riscos residuais e responder com rapidez ao impacto reputacional do exploit.

Em suma, a Raydium sustenta que o incidente ficou restrito ao AMM V3 legado, descontinuado em 2021. Ao mesmo tempo, o protocolo mantém o compromisso de cobrir as perdas das cinco pools afetadas, incluindo USDC-RAY e RAY-SOL, enquanto acompanha o caso com dados rastreados pela PeckShieldAlert.