Raydium, exchange descentralizado da Solana, teve perda de US$ 1,34 milh\u00e3o em 10 de junho de 2026. O ataque explorou cinco pools de liquidez legadas do programa AMM V3, vulnerabilidade de contrato inteligente mantida na chain por cinco anos.<\/p>\n
O invasor, cujo endere\u00e7o Solana termina em Bq33QVk, levou cerca de US$ 900 mil em USDC, US$ 357 mil em SOL e US$ 86 mil em tokens RAY. Em seguida, transferiu os recursos da Solana para Ethereum por meio de uma ponte entre chains e depositou em Tornado Cash para ocultar o rasto.<\/p>\n
Investigadores disseram que a vulnerabilidade exigia valida\u00e7\u00e3o insuficiente de LP tokens. O invasor criou uma mint falsa de token SPL n\u00e3o relacionada a pools reais, cunhou uma unidade e acionou a fun\u00e7\u00e3o legada withdraw, levando o contrato a tratar o invasor como detentor de 100% da participa\u00e7\u00e3o.<\/p>\n
A sequ\u00eancia foi repetida nos cinco pools legados: Sollet USDT\u2013RAY, Sollet ETH\u2013RAY, SRM\u2013RAY, USDC\u2013RAY e RAY\u2013SOL, resultando no afastamento de aproximadamente 150.177 RAY, 5.603 SOL e 893.700 USDC.<\/p>\n
0xInfra, colaborador da Raydium, classificou o incidente como uma falha de l\u00f3gica aut\u00f4noma e afastou qualquer viola\u00e7\u00e3o de chave mestra ou de autoridade. N\u00e3o houve comprometimento de contas ativas nem propaga\u00e7\u00e3o para programas atuais.<\/p>\n
A vulnerabilidade difere do ataque de dezembro de 2022, que teve perda estimada em US$ 4,4 milh\u00f5es por roubo de chave privada. Ap\u00f3s aquele epis\u00f3dio, a equipe refor\u00e7ou a seguran\u00e7a e migrou para contratos auditados.<\/p>\n
Em tempo real, investigadores acompanharam a acumula\u00e7\u00e3o de USDC, SOL e RAY nas cinco pools. O saldo completo foi bridgado \u00e0 Ethereum, passou por KuCoin e FixedFloat, e chegou a Tornado Cash, protocolo de privacidade.<\/p>\n
Ningu\u00e9m, segundo an\u00e1lises, teve ativos bloqueados ou sinalizados em exchanges no momento da conclus\u00e3o da movimenta\u00e7\u00e3o cruzada. A rota para Tornado Cash dificulta rastreamento adicional.<\/p>\n
N\u00e3o houve impacto direto a usu\u00e1rios ativos do Raydium. As pools legadas estavam invis\u00edveis na interface e n\u00e3o acess\u00edveis pelo fluxo normal.<\/p>\n
A Raydium informou que reembolsar\u00e1 integralmente os recursos roubados por meio de seu tesouro. As IDs legadas do AMM V3 devem ser desativadas formalmente, e a empresa iniciou uma revis\u00e3o de seguran\u00e7a em caminhos de c\u00f3digo principais e legados. O cronograma de restitui\u00e7\u00e3o n\u00e3o foi divulgado.<\/p>\n
O token RAY operava com leve queda ap\u00f3s o ocorrido, mas apresentava alta volatilidade diante do contexto de fraqueza do ecossistema Solana.<\/p>\n","protected":false},"excerpt":{"rendered":"