A bolsa descentralizada (DEX) Raydium, baseada na Solana, confirmou um exploit que visava o seu programa legacy AMM V3, retirando aproximadamente 1,34 milhões de dólares em ativos de pools de liquidez inativos. O ataque afetou os pares RAY-SOL, USDC-RAY e SRM-RAY, drenando cerca de 150.000 RAY, 5.600 SOL e quase 900.000 USDC. A Raydium atribuiu a vulnerabilidade à validação insuficiente dos mints de LP no programa legacy, que tinha sido descontinuado em 2021. O protocolo afirmou que os programas atuais da mainnet estavam inalterados e comprometeu-se com o reembolso total a partir do seu tesouro. O incidente evidencia riscos de segurança contínuos de contratos inteligentes reformados que permanecem on-chain mesmo depois de os protocolos deixarem de dar suporte ao front-end.
Raydium Identifica Validação Insuficiente de LP Mint como Causa do Exploit
A Raydium disse que a vulnerabilidade resultou de validação insuficiente dos mints de LP, o que permitiu ao atacante contornar as verificações de proporção pretendidas. O programa de market maker automático visado tinha sido descontinuado em 2021 e não estava acessível através da interface da bolsa desde então. O protocolo afirmou que o seu SDK e DAPP não suportam interações na mainnet com os pools legacy AMM V3.
Os pools afetados incluíam os pares RAY-SOL, USDC-RAY e SRM-RAY. As estimativas iniciais indicaram que o atacante drenou cerca de 150.000 RAY, 5.600 SOL e quase 900.000 USDC. O exploit não afetou os programas atuais da mainnet da Raydium, segundo o protocolo. O incidente não esteve ligado a trading ativo no front-end nem à infraestrutura de liquidez atual. O atacante visou contratos de pools mais antigos que permaneceram on-chain apesar de já não serem suportados pela interface principal de utilizador da Raydium.
Raydium Compromete Fundos do Tesouro para Reembolso Total aos Utilizadores
A Raydium disse que os utilizadores afetados serão reembolsados na íntegra a partir do seu tesouro. A decisão do protocolo de compensar os utilizadores afetados com fundos do tesouro reduz o dano financeiro imediato para os fornecedores de liquidez. O reembolso total limita a probabilidade de um exploit relativamente pequeno se tornar um problema de reputação maior para o protocolo.
O plano de reembolso aborda a dependência de bolsas descentralizadas da confiança dos fornecedores de liquidez. A resposta do tesouro fornece compensação aos utilizadores cujos ativos foram removidos dos pools inativos. O compromisso da Raydium de cobrir perdas com fundos do protocolo foi anunciado após a divulgação do exploit.
RAY Token Negociado Mais Alto Após a Divulgação do Exploit
O token nativo RAY da Raydium negociou mais alto no dia da divulgação do exploit. A reação do mercado pareceu limitada, sugerindo que os investidores não viram o exploit como uma ameaça para a infraestrutura de trading ativa do protocolo. Essa reação provavelmente reflete o âmbito limitado do incidente, a natureza legacy do programa afetado e o plano de compensação suportado pelo tesouro.
O montante perdido, apesar de relevante para os utilizadores afetados, foi pequeno face a exploits maiores em DeFi e foi rapidamente acompanhado por um compromisso de reembolso total. Essa combinação ajudou a evitar um choque mais amplo de confiança. Foi dito aos utilizadores que os programas atuais estavam inalterados, que as interfaces oficiais não suportavam os pools legacy e que os fundos do tesouro cobririam as perdas.
Raydium Confirma Programas Atuais da Mainnet em Revisão de Segurança
A Raydium disse que os seus programas atuais na mainnet estão a passar por uma revisão de segurança separada. Esse passo dá ao protocolo a oportunidade de separar o risco legacy da infraestrutura em funcionamento e tranquilizar os utilizadores de que os mercados ativos não estão expostos à mesma vulnerabilidade. O protocolo afirmou que a revisão de segurança abrange os programas atualmente em uso na sua implementação na mainnet.
A distinção é importante porque o incidente não esteve ligado a trading ativo no front-end nem à infraestrutura de liquidez atual. A Raydium disse que o programa de market maker automático visado tinha sido descontinuado em 2021. O protocolo confirmou que o seu SDK e DAPP não suportam interações na mainnet com os pools legacy AMM V3, o que limita a exposição através de canais oficiais.
FAQ
O que causou o exploit da Raydium que removeu 1,34 milhões de dólares em ativos?
A Raydium disse que a vulnerabilidade resultou de validação insuficiente dos mints de LP no seu programa legacy AMM V3, o que permitiu ao atacante contornar as verificações de proporção pretendidas. O programa de market maker automático visado tinha sido descontinuado em 2021 e não estava acessível através da interface da bolsa desde então.
Como é que a Raydium respondeu aos utilizadores afetados pelo exploit do pool legacy?
A Raydium comprometeu-se com o reembolso total dos utilizadores afetados a partir do seu tesouro. O protocolo afirmou que os utilizadores cujos ativos foram removidos dos pools inativos RAY-SOL, USDC-RAY e SRM-RAY serão totalmente compensados.
Porque é que o token RAY negociou mais alto após a divulgação do exploit?
A reação do mercado pareceu limitada porque o exploit afetou pools inativos associados a um programa AMM antigo, em vez do sistema de trading atual da Raydium. Os investidores não viram o exploit como uma ameaça para a infraestrutura de trading ativa do protocolo, dada a limitação do âmbito, a natureza legacy do programa afetado e o plano de compensação suportado pelo tesouro.
