A exchange descentralizada (DEX) Raydium, baseada na Solana, confirmou um exploit que mirou seu programa legado de AMM V3, removendo aproximadamente US$ 1,34 milhão em ativos de pools de liquidez inativos. O ataque atingiu os pares RAY-SOL, USDC-RAY e SRM-RAY, drenando cerca de 150.000 RAY, 5.600 SOL e quase 900.000 USDC. A Raydium atribuiu a vulnerabilidade à validação insuficiente de mints de LP no programa legado, que havia sido descontinuado em 2021. O protocolo afirmou que os programas atuais do mainnet não foram afetados e se comprometeu com reembolso total a partir de seu tesouro. O incidente destaca riscos de segurança contínuos de contratos inteligentes aposentados que permanecem on-chain mesmo após os protocolos interromperem o suporte ao front-end.
Raydium identifica validação insuficiente de mint de LP como causa do exploit
A Raydium disse que a vulnerabilidade decorreu de validação insuficiente de mints de LP, o que permitiu que o atacante contornasse as verificações de proporção pretendidas. O programa de market maker automatizado visado havia sido descontinuado em 2021 e não estava acessível pela interface da exchange desde então. O protocolo afirmou que seu SDK e DAPP não suportam interações no mainnet com os pools legados de AMM V3.
Os pools afetados incluíram os pares RAY-SOL, USDC-RAY e SRM-RAY. Estimativas iniciais indicaram que o atacante drenou por volta de 150.000 RAY, 5.600 SOL e quase 900.000 USDC. O exploit não afetou os programas atuais do mainnet da Raydium, segundo o protocolo. O incidente não esteve ligado a negociação ativa pelo front-end nem à infraestrutura atual de liquidez. O atacante mirou contratos mais antigos de pools que permaneceram on-chain mesmo quando já não eram suportados pela interface principal de usuários da Raydium.
Raydium se compromete com recursos do tesouro para reembolso total dos usuários
A Raydium disse que os usuários afetados serão totalmente reembolsados a partir de seu tesouro. A decisão do protocolo de compensar os usuários afetados com recursos do tesouro reduz o dano financeiro imediato para provedores de liquidez. O reembolso total limita a chance de um exploit relativamente pequeno se tornar uma questão maior de reputação para o protocolo.
O plano de reembolso trata da dependência de uma DEX na confiança dos provedores de liquidez. A resposta do tesouro fornece compensação para usuários cujos ativos foram removidos dos pools inativos. O compromisso da Raydium de cobrir perdas com recursos do protocolo foi anunciado após a divulgação do exploit.
Token RAY negociou mais alto após divulgação do exploit
O token nativo RAY da Raydium foi negociado em alta no dia da divulgação do exploit. A reação do mercado pareceu limitada, sugerindo que os investidores não enxergaram o exploit como uma ameaça à infraestrutura de negociação ativa do protocolo. Essa reação provavelmente reflete o escopo limitado do incidente, a natureza legada do programa afetado e o plano de compensação sustentado pelo tesouro.
O valor da perda, embora relevante para os usuários afetados, foi pequeno em comparação com exploits maiores de DeFi e foi rapidamente acompanhado por um compromisso de reembolso total. Essa combinação ajudou a evitar um choque mais amplo de confiança. Os usuários foram informados de que os programas atuais não foram afetados, as interfaces oficiais não suportam os pools legados e os recursos do tesouro cobrirão as perdas.
Raydium confirma que programas atuais do mainnet estão sob revisão de segurança
A Raydium disse que seus programas atuais do mainnet estão passando por uma revisão de segurança separada. Essa etapa dá ao protocolo uma chance de separar o risco legado da infraestrutura em funcionamento e tranquilizar os usuários de que mercados ativos não estão expostos à mesma vulnerabilidade. O protocolo afirmou que a revisão de segurança cobre programas atualmente em uso na implementação do mainnet.
A distinção importa porque o incidente não esteve ligado a negociação ativa pelo front-end nem à infraestrutura atual de liquidez. A Raydium afirmou que o programa de market maker automatizado visado havia sido descontinuado em 2021. O protocolo confirmou que seu SDK e DAPP não suportam interações no mainnet com os pools legados de AMM V3, o que limita a exposição por meio de canais oficiais.
FAQ
O que causou o exploit da Raydium que removeu US$ 1,34 milhão em ativos?
A Raydium disse que a vulnerabilidade surgiu de validação insuficiente de mints de LP em seu programa legado de AMM V3, o que permitiu que o atacante contornasse as verificações de proporção pretendidas. O programa de market maker automatizado visado havia sido descontinuado em 2021 e não estava acessível pela interface da exchange desde então.
Como a Raydium respondeu aos usuários afetados pelo exploit do pool legado?
A Raydium se comprometeu com reembolso total dos usuários afetados a partir de seu tesouro. O protocolo disse que os usuários cujos ativos foram removidos dos pools inativos RAY-SOL, USDC-RAY e SRM-RAY serão totalmente compensados.
Por que o token RAY negociou em alta após a divulgação do exploit?
A reação do mercado pareceu limitada porque o exploit afetou pools inativos ligados a um programa antigo de AMM, em vez do sistema atual de negociação da Raydium. Os investidores não enxergaram o exploit como uma ameaça à infraestrutura ativa de negociação do protocolo, considerando o escopo limitado, a natureza legada do programa afetado e o plano de compensação sustentado pelo tesouro.
