Raydium, bursa terdesentralisasi berbasis Solana, mengalami eksploitasi pada lima liquidity pool lama yang sudah tidak dipakai. Insiden ini terjadi pada Rabu dan memicu pencurian lebih dari $1.34 juta dalam berbagai aset kripto.
Serangan tersebut menimpa program automated market maker lawas milik Raydium, bukan sistem utama yang masih digunakan pengguna aktif. Pihak Raydium menegaskan bahwa pengguna saat ini tidak terdampak dan tidak bisa berinteraksi dengan pool itu melalui UI sejak pool tersebut dinonaktifkan.
Cara serangan berjalan
Menurut kontributor Raydium dengan nama samaran 0xInfra di X, pelaku berhasil melewati logika validasi di program lama itu. Penyerang lalu mencetak token liquidity provider baru dan menarik aset dari pool yang terdampak.
Alamat Solana milik pelaku berakhiran “Bq33QVk”. Dari aksi tersebut, penyerang membawa kabur hampir $900,000 USDC, sekitar $357,000 SOL, dan $86,000 token RAY.
Raydium menyebut kerugian itu akan diganti menggunakan treasury perusahaan. 0xInfra juga menegaskan bahwa insiden ini bukan akibat kompromi kunci atau masalah pada otoritas akses.
Dampak ke token dan sentimen pasar
Di tengah kabar eksploitasi, token RAY turun sekitar 2% dalam 24 jam terakhir. Harganya sempat berpindah tangan di $0.567 dan sudah turun sekitar 13% dalam sepekan terakhir di tengah pelemahan pasar yang lebih luas.
Posisinya juga masih jauh dari rekor tertinggi $16.83, atau sekitar 96.6% di bawah level itu. Tekanan pada token Raydium datang saat pasar kripto terus menyoroti risiko keamanan di protokol DeFi.
Bagian dari gelombang serangan DeFi
Eksploitasi Raydium menambah daftar panjang kerentanan yang belakangan ditemukan di jaringan kripto dan protokol DeFi. Pada April, KelpDAO dan Drift Protocol berbasis Solana masing-masing mengalami eksploitasi yang berdampak pada dana nyaris $300 juta.
Dalam perkembangan lain, jaringan privasi Zcash melihat token native-nya jatuh lebih dari 40% dalam 24 jam pada pekan lalu setelah pengembang mengungkap bahwa seorang peneliti keamanan memakai model AI frontier untuk menemukan kerentanan berusia empat tahun pada salah satu privacy pool-nya. Meski belum ada bukti AI dipakai dalam kasus Raydium, analis yang berbicara kepada Decrypt pada Mei mengatakan AI mulai mengubah cara eksploitasi ditemukan karena mampu mengotomatiskan apa yang biasa dilakukan auditor berpengalaman.
Kekhawatiran itu bertambah setelah firma AI privat Anthropic merilis versi baru Mythos dengan klaim kemampuan keamanan siber yang belum pernah ada sebelumnya. Pada saat yang sama, Anthropic juga memperkenalkan versi publik yang lebih dibatasi, Claude Fable 5, yang memicu kritik karena terlalu banyak dipangkas kemampuannya.
