Program legacy AMM V3 Raydium dieksploitasi dengan perkiraan sekitar $1,34 juta setelah seorang penyerang menyalahgunakan celah validasi mint penyedia likuiditas di pool Solana AMM V3 yang sudah didengsir (deprecated). Tim Raydium mengatakan masalah tersebut terisolasi pada kontrak AMM V3 lama yang telah dihentikan pada 2021 dan tidak memengaruhi program likuiditas yang sedang berjalan di platform atau pengguna aktifnya. Eksploitasi tersebut menguras lima pool likuiditas yang sudah didengsir dan terkait dengan program legacy. Penyebab utama diidentifikasi sebagai celah validasi yang bersifat mandiri (self-contained) yang melibatkan pengecekan mint LP, sehingga memungkinkan penyerang memanipulasi logika pool dengan kondisi token LP yang tidak valid atau palsu. Insiden ini menambah daftar kegagalan infrastruktur decentralized exchange yang terus bertambah dan memunculkan pertanyaan tentang bagaimana protokol DeFi mengelola kontrak yang sudah pensiun serta likuiditas sisa.
Menurut kontributor inti Raydium, Infra, penyebab utamanya adalah celah validasi yang bersifat mandiri yang melibatkan pengecekan mint LP. Penyerang mampu memanipulasi logika pool dengan menggunakan kondisi token LP yang tidak valid atau palsu, sehingga memungkinkan dana ditarik dari pool yang seharusnya tidak lagi membawa risiko berarti bagi pengguna. Eksploitasi tersebut menguras lima pool likuiditas yang didengsir dan terkait dengan program legacy.
Program AMM V3 yang terdampak sudah digantikan bertahun-tahun sebelumnya, tetapi pool yang tersisa masih menyimpan aset yang cukup untuk membuat eksploitasi menguntungkan. Penyerang tidak perlu membobol produk Raydium yang sedang berjalan. Sebaliknya, eksploitasi menargetkan kelemahan validasi yang sempit dalam desain likuiditas yang lebih lama.
Raydium mengatakan pihaknya akan mengompensasi kerugian yang terdampak dari treasury. Tim menyebut pengguna Raydium saat ini tidak terpengaruh, sehingga membatasi risiko penularan (contagion) secara langsung di seluruh Solana decentralized finance. Respons ini penting karena eksploit melibatkan infrastruktur usang, bukan pool yang langsung dihadapi pengguna saat ini, namun kerugian tetap memunculkan pertanyaan tentang bagaimana protokol terdesentralisasi mengelola kontrak yang sudah pensiun, likuiditas sisa, dan paparan smart contract jangka panjang (long-tail).
Perusahaan keamanan blockchain melacak pergerakan penyerang setelah pengurasan, dengan dana dilaporkan dialirkan melalui KuCoin, jembatan Solana ke Ethereum, Tornado Cash, dan FixedFloat. Jalur pencucian dana tersebut menunjukkan seberapa cepat bahkan eksploit DeFi yang relatif kecil pun bisa menjadi sulit dipulihkan begitu aset berpindah melalui bursa terpusat, jembatan, dan alat privasi.
Insiden ini menyoroti masalah berulang dalam decentralized finance: kontrak lama dapat tetap relevan secara finansial bahkan setelah sistem yang lebih baru menggantikannya. Protokol sering mendepresiasi versi-versi sebelumnya, tetapi tidak mudah untuk menghapus smart contract yang sudah dideploy dari blockchain publik. Jika pengguna, bot, atau likuiditas yang terlupakan masih terhubung ke program-program tersebut, infrastruktur yang menganggur bisa menjadi permukaan serangan bertahun-tahun setelah pengembangan aktif berpindah ke tempat lain.
Bagi protokol DeFi, deprecate (pensiunkan) karenanya bukan hanya tugas manajemen produk. Ini adalah proses keamanan. Tim perlu mengidentifikasi pool yang tidak aktif, memberi peringatan kepada pengguna, menghapus akses dari front-end, memantau saldo sisa, dan membuat jalur migrasi yang jelas. Jika memungkinkan, mereka juga mungkin perlu kontrol darurat atau insentif untuk menguras pool yang sudah usang sebelum menjadi target.
Implikasi pasar yang lebih luas adalah risiko keamanan DeFi tidak terbatas pada kontrak yang baru diluncurkan. Protokol yang sudah matang membawa kode historis, struktur likuiditas lama, dan integrasi legacy yang mungkin tidak menerima tingkat pemantauan yang sama seperti sistem yang masih berjalan. Seiring DeFi menjadi lebih institusional, auditor dan investor akan semakin sering bertanya apakah protokol memiliki proses daur hidup (lifecycle) yang formal untuk menonaktifkan kontrak dengan aman.
Apa yang menyebabkan eksploit Raydium legacy AMM V3?
Eksploit disebabkan oleh celah validasi mint penyedia likuiditas (liquidity provider) pada pool Solana yang didengsir. Penyerang memanipulasi logika pool dengan menggunakan kondisi token LP yang tidak valid atau palsu, sehingga memungkinkan dana ditarik dari lima pool likuiditas yang didengsir dan terkait dengan program legacy AMM V3 yang dihentikan pada 2021.
Bagaimana Raydium merespons eksploit senilai $1,34 juta?
Raydium mengatakan pihaknya akan mengompensasi kerugian yang terdampak dari treasury. Tim menegaskan masalah tersebut terisolasi pada kontrak AMM V3 lama dan tidak memengaruhi program likuiditas yang sedang berjalan di platform atau pengguna aktif, sehingga membatasi risiko penularan secara langsung di seluruh Solana decentralized finance.
Berita Terkait
Perdagangan basis PiggyBank disetir oleh LAB, brankas USDC turun 15%, berjanji ganti rugi
Proyek DeFi Kehilangan $4,5 Juta dalam Gelombang Peretasan Multi-Vektor di Sejumlah Bridge dan Tata Kelola
Raydium Melakukan Penggantian Penuh Setelah Eksploitasi Legacy Pool Senilai $1,34 Juta
Peretasan Humanity Protocol Menguras $36M Setelah Laptop yang Terkompromikan Membuka Kunci Jembatan
Yuga Labs Memulihkan $500K di BAYC dan CryptoPunks Setelah Eksploit NFT