Raydium kembali jadi sorotan setelah lima liquidity pool lama yang sudah tak dipakai dieksploitasi dan memicu pencurian lebih dari US$1,34 juta dalam berbagai aset kripto. Insiden ini menegaskan bahwa celah pada sistem DeFi lama masih bisa dimanfaatkan meski pool tersebut sudah dinonaktifkan dari tampilan pengguna.
Yang terdampak bukan sistem utama Raydium yang masih dipakai pengguna aktif. Pihak Raydium menegaskan pengguna saat ini tidak terdampak dan tidak bisa berinteraksi dengan pool itu melalui UI sejak pool dinonaktifkan.
Cara Serangan Berjalan
Menurut kontributor Raydium dengan nama samaran 0xInfra di X, pelaku berhasil melewati logika validasi di program automated market maker lama itu. Setelah itu, penyerang mencetak token liquidity provider baru lalu menarik aset dari pool yang terdampak.
Alamat Solana milik pelaku berakhiran “Bq33QVk”. Dari aksi tersebut, penyerang membawa kabur hampir US$900.000 USDC, sekitar US$357.000 SOL, dan US$86.000 token RAY.
Dampak ke Raydium dan Token RAY
Raydium menyebut kerugian itu akan diganti menggunakan treasury perusahaan. 0xInfra juga menegaskan bahwa insiden ini bukan akibat kompromi kunci atau masalah pada otoritas akses.
Di tengah kabar eksploitasi, token RAY turun sekitar 2% dalam 24 jam terakhir. Harganya sempat berpindah tangan di US$0,567 dan sudah turun sekitar 13% dalam sepekan terakhir di tengah pelemahan pasar yang lebih luas.
Posisinya juga masih jauh dari rekor tertinggi US$16,83, atau sekitar 96,6% di bawah level itu. Tekanan pada token Raydium datang saat pasar kripto terus menyoroti risiko keamanan di protokol DeFi.
Gelombang Risiko Keamanan DeFi
Eksploitasi Raydium menambah daftar panjang kerentanan yang belakangan ditemukan di jaringan kripto dan protokol DeFi. Pada April, KelpDAO dan Drift Protocol berbasis Solana masing-masing mengalami eksploitasi yang berdampak pada dana nyaris US$300 juta.
Dalam perkembangan lain, jaringan privasi Zcash melihat token native-nya jatuh lebih dari 40% dalam 24 jam pada pekan lalu setelah pengembang mengungkap bahwa seorang peneliti keamanan memakai model AI frontier untuk menemukan kerentanan berusia empat tahun pada salah satu privacy pool-nya.
Meski belum ada bukti AI dipakai dalam kasus Raydium, analis yang berbicara kepada Decrypt pada Mei mengatakan AI mulai mengubah cara eksploitasi ditemukan karena mampu mengotomatiskan apa yang biasa dilakukan auditor berpengalaman. Kekhawatiran itu bertambah setelah firma AI privat Anthropic merilis versi baru Mythos dengan klaim kemampuan keamanan siber yang belum pernah ada sebelumnya.
Pada saat yang sama, Anthropic juga memperkenalkan versi publik yang lebih dibatasi, Claude Fable 5, yang memicu kritik karena terlalu banyak dipangkas kemampuannya. Di tengah meningkatnya perhatian pada keamanan, kasus Raydium kembali mengingatkan bahwa pool lama yang tampak tidak aktif pun masih bisa menjadi titik lemah besar bagi ekosistem DeFi.