Raydium sofre exploit de US$ 1,34 milhão em programa legado

A Raydium sofreu um exploit de US$ 1,34 milhão em 10 de junho de 2026, explorando uma falha crítica de validação de token LP (Liquidity Provider) em pools AMM V3 legados — versão descontinuada desde 2021 e inativa na interface oficial, SDK e DApp da plataforma. O ataque afetou cinco pools específicos: Sollet USDT-RAY, Sollet ETH-RAY, SRM-RAY, USDC-RAY e RAY-SOL, resultando na extração de 150.177 RAY, 5.603 SOL e 893.700 USDC. Diferentemente do exploit de dezembro de 2022 (US$ 4,4–5,5 milhões por comprometimento de chave privada), este incidente não envolveu infraestrutura ativa nem usuários em produção, mas sim contratos inteligentes obsoletos ainda implantados na mainnet da Solana — uma superfície de ataque persistente comum em protocolos DeFi que negligenciam a remoção ou o bloqueio completo de código depreciado.

O invasor utilizou transações em cadeia para transferir os ativos roubados da Solana para Ethereum via pontes, seguidas de ofuscação em mixers como Tornado Cash e FixedFloat — padrão observado em ataques sofisticados pós-exploit. O endereço inicial de financiamento foi rastreado até a exchange KuCoin, conforme análise forense da BlockSec e confirmado pela própria Raydium em comunicado técnico. A equipe reafirmou que nenhuma vulnerabilidade foi encontrada nos pools ativos ou no novo contrato AMM V4, mas intensificou auditorias em todos os programas da mainnet, incluindo revisão de permissões de upgrade e lógica de fallback em contratos legados.

Esse exploit é um alerta crítico para o ecossistema Solana e DeFi como um todo: mesmo contratos desativados há mais de cinco anos podem representar riscos reais se ainda contiverem ativos residuais ou falhas não corrigidas — como a ausência de validação robusta de tokens LP em condições edge. A Raydium já havia enfrentado um incidente grave em 2022, o que evidencia um padrão de exposição a vetores distintos (chave privada vs. lógica de contrato), exigindo abordagens de segurança em camadas. Para investidores e provedores de liquidez, o fato de o preço do token RAY ter caído menos de 1% após o anúncio reflete confiança na capacidade da tesouraria de cobrir perdas — mas também destaca uma lacuna estrutural: a falta de práticas consolidadas de 'contrato sunset', como self-destruct, pausa definitiva ou migração forçada de ativos em protocolos descentralizados.

Desenvolvedores de DeFi na Solana devem priorizar revisões técnicas em contratos legados antes de qualquer atualização de versão principal, especialmente em AMMs com múltiplas iterações (ex.: AMM V3 → V4). A falha explorada — ausência de checagem de validade do token LP em pools inativos — revela que testes de unidade e fuzzing muitas vezes ignoram cenários de estado residual, como balances não zerados em contratos marcados como 'deprecated'. Ferramentas como Anchor Framework agora recomendam o uso de 'upgradeable program constraints' e 'deprecation flags' verificáveis on-chain, além de integração com serviços de monitoramento contínuo como Helius e Solscan para detectar movimentação inesperada em endereços antigos. A Raydium anunciou que adotará essa abordagem em seu próximo relatório de segurança público, previsto para julho de 2026.