- Em 10 de junho de 2026, Raydium, exchange descentralizada da Solana, sofreu saque de 1,34 milhão de dólares devido a exploração de cinco pools legados do programa AMM V3, com falha na validação de tokens LP.
- O atacante criou um token LP falso, usou a função de retirada e fez a empresa acreditar que possuía 100% das cotas, liberando o saque total dos pools.
- Os fundos foram bridges Solana → Ethereum e, depois, enviados via KuCoin e FixedFloat, chegando ao Tornado Cash para encobrir a trilha; rastreadores apontam saída completa.
- Não houve impacto em usuários ativos; os pools legados estavam desativados e inacessíveis pela interface. A Raydium informou que vai reembolsar integralmente os valores por meio da tesouraria do protocolo.
- O token RAY operava em torno de 0,58 dólar no momento, com queda acumulada na semana, refletindo fraca atuação do ecossistema Solana.
Raydium, exchange descentralizado da Solana, teve perda de US$ 1,34 milhão em 10 de junho de 2026. O ataque explorou cinco pools de liquidez legadas do programa AMM V3, vulnerabilidade de contrato inteligente mantida na chain por cinco anos.
O invasor, cujo endereço Solana termina em Bq33QVk, levou cerca de US$ 900 mil em USDC, US$ 357 mil em SOL e US$ 86 mil em tokens RAY. Em seguida, transferiu os recursos da Solana para Ethereum por meio de uma ponte entre chains e depositou em Tornado Cash para ocultar o rasto.
Investigadores disseram que a vulnerabilidade exigia validação insuficiente de LP tokens. O invasor criou uma mint falsa de token SPL não relacionada a pools reais, cunhou uma unidade e acionou a função legada withdraw, levando o contrato a tratar o invasor como detentor de 100% da participação.
A sequência foi repetida nos cinco pools legados: Sollet USDT–RAY, Sollet ETH–RAY, SRM–RAY, USDC–RAY e RAY–SOL, resultando no afastamento de aproximadamente 150.177 RAY, 5.603 SOL e 893.700 USDC.
Detalhes da Exploração
0xInfra, colaborador da Raydium, classificou o incidente como uma falha de lógica autônoma e afastou qualquer violação de chave mestra ou de autoridade. Não houve comprometimento de contas ativas nem propagação para programas atuais.
A vulnerabilidade difere do ataque de dezembro de 2022, que teve perda estimada em US$ 4,4 milhões por roubo de chave privada. Após aquele episódio, a equipe reforçou a segurança e migrou para contratos auditados.
Trajeto das Finanças
Em tempo real, investigadores acompanharam a acumulação de USDC, SOL e RAY nas cinco pools. O saldo completo foi bridgado à Ethereum, passou por KuCoin e FixedFloat, e chegou a Tornado Cash, protocolo de privacidade.
Ninguém, segundo análises, teve ativos bloqueados ou sinalizados em exchanges no momento da conclusão da movimentação cruzada. A rota para Tornado Cash dificulta rastreamento adicional.
Medidas e Impacto aos Usuários
Não houve impacto direto a usuários ativos do Raydium. As pools legadas estavam invisíveis na interface e não acessíveis pelo fluxo normal.
A Raydium informou que reembolsará integralmente os recursos roubados por meio de seu tesouro. As IDs legadas do AMM V3 devem ser desativadas formalmente, e a empresa iniciou uma revisão de segurança em caminhos de código principais e legados. O cronograma de restituição não foi divulgado.
O token RAY operava com leve queda após o ocorrido, mas apresentava alta volatilidade diante do contexto de fraqueza do ecossistema Solana.
Entre na conversa da comunidade