Program legacy AMM V3 Raydium dieksploitasi dengan perkiraan sekitar $1,34 juta setelah seorang penyerang menyalahgunakan celah validasi mint penyedia likuiditas di pool Solana AMM V3 yang sudah didengsir (deprecated). Tim Raydium mengatakan masalah tersebut terisolasi pada kontrak AMM V3 lama yang telah dihentikan pada 2021 dan tidak memengaruhi program likuiditas yang sedang berjalan di platform atau pengguna aktifnya. Eksploitasi tersebut menguras lima pool likuiditas yang sudah didengsir dan terkait dengan program legacy. Penyebab utama diidentifikasi sebagai celah validasi yang bersifat mandiri (self-contained) yang melibatkan pengecekan mint LP, sehingga memungkinkan penyerang memanipulasi logika pool dengan kondisi token LP yang tidak valid atau palsu. Insiden ini menambah daftar kegagalan infrastruktur decentralized exchange yang terus bertambah dan memunculkan pertanyaan tentang bagaimana protokol DeFi mengelola kontrak yang sudah pensiun serta likuiditas sisa.
Penyerang Mengeksploitasi Celah Validasi Mint LP di Lima Pool yang Didengsir
Menurut kontributor inti Raydium, Infra, penyebab utamanya adalah celah validasi yang bersifat mandiri yang melibatkan pengecekan mint LP. Penyerang mampu memanipulasi logika pool dengan menggunakan kondisi token LP yang tidak valid atau palsu, sehingga memungkinkan dana ditarik dari pool yang seharusnya tidak lagi membawa risiko berarti bagi pengguna. Eksploitasi tersebut menguras lima pool likuiditas yang didengsir dan terkait dengan program legacy.
Program AMM V3 yang terdampak sudah digantikan bertahun-tahun sebelumnya, tetapi pool yang tersisa masih menyimpan aset yang cukup untuk membuat eksploitasi menguntungkan. Penyerang tidak perlu membobol produk Raydium yang sedang berjalan. Sebaliknya, eksploitasi menargetkan kelemahan validasi yang sempit dalam desain likuiditas yang lebih lama.
Raydium Mengalokasikan Kompensasi dari Treasury untuk Kerugian yang Terdampak
Raydium mengatakan pihaknya akan mengompensasi kerugian yang terdampak dari treasury. Tim menyebut pengguna Raydium saat ini tidak terpengaruh, sehingga membatasi risiko penularan (contagion) secara langsung di seluruh Solana decentralized finance. Respons ini penting karena eksploit melibatkan infrastruktur usang, bukan pool yang langsung dihadapi pengguna saat ini, namun kerugian tetap memunculkan pertanyaan tentang bagaimana protokol terdesentralisasi mengelola kontrak yang sudah pensiun, likuiditas sisa, dan paparan smart contract jangka panjang (long-tail).
Perusahaan keamanan blockchain melacak pergerakan penyerang setelah pengurasan, dengan dana dilaporkan dialirkan melalui KuCoin, jembatan Solana ke Ethereum, Tornado Cash, dan FixedFloat. Jalur pencucian dana tersebut menunjukkan seberapa cepat bahkan eksploit DeFi yang relatif kecil pun bisa menjadi sulit dipulihkan begitu aset berpindah melalui bursa terpusat, jembatan, dan alat privasi.
Kontrak Legacy Menimbulkan Risiko Keamanan Berkelanjutan di DeFi
Insiden ini menyoroti masalah berulang dalam decentralized finance: kontrak lama dapat tetap relevan secara finansial bahkan setelah sistem yang lebih baru menggantikannya. Protokol sering mendepresiasi versi-versi sebelumnya, tetapi tidak mudah untuk menghapus smart contract yang sudah dideploy dari blockchain publik. Jika pengguna, bot, atau likuiditas yang terlupakan masih terhubung ke program-program tersebut, infrastruktur yang menganggur bisa menjadi permukaan serangan bertahun-tahun setelah pengembangan aktif berpindah ke tempat lain.
Bagi protokol DeFi, deprecate (pensiunkan) karenanya bukan hanya tugas manajemen produk. Ini adalah proses keamanan. Tim perlu mengidentifikasi pool yang tidak aktif, memberi peringatan kepada pengguna, menghapus akses dari front-end, memantau saldo sisa, dan membuat jalur migrasi yang jelas. Jika memungkinkan, mereka juga mungkin perlu kontrol darurat atau insentif untuk menguras pool yang sudah usang sebelum menjadi target.
Implikasi pasar yang lebih luas adalah risiko keamanan DeFi tidak terbatas pada kontrak yang baru diluncurkan. Protokol yang sudah matang membawa kode historis, struktur likuiditas lama, dan integrasi legacy yang mungkin tidak menerima tingkat pemantauan yang sama seperti sistem yang masih berjalan. Seiring DeFi menjadi lebih institusional, auditor dan investor akan semakin sering bertanya apakah protokol memiliki proses daur hidup (lifecycle) yang formal untuk menonaktifkan kontrak dengan aman.
FAQ
Apa yang menyebabkan eksploit Raydium legacy AMM V3?
Eksploit disebabkan oleh celah validasi mint penyedia likuiditas (liquidity provider) pada pool Solana yang didengsir. Penyerang memanipulasi logika pool dengan menggunakan kondisi token LP yang tidak valid atau palsu, sehingga memungkinkan dana ditarik dari lima pool likuiditas yang didengsir dan terkait dengan program legacy AMM V3 yang dihentikan pada 2021.
Bagaimana Raydium merespons eksploit senilai $1,34 juta?
Raydium mengatakan pihaknya akan mengompensasi kerugian yang terdampak dari treasury. Tim menegaskan masalah tersebut terisolasi pada kontrak AMM V3 lama dan tidak memengaruhi program likuiditas yang sedang berjalan di platform atau pengguna aktif, sehingga membatasi risiko penularan secara langsung di seluruh Solana decentralized finance.
