周三,Solana 的旗舰去中心化交易所成为加密货币漏洞的最新受害者,攻击者从 Raydium 上的五个休眠流动性池中抽走了超过 134 万美元,为去中心化金融安全本已严峻的一年增添了新的紧迫性。
该漏洞针对 Raydium 的旧版 AMM V3 程序,从五个不活跃的流动性池中流失了大约 134 万美元。受影响的矿池——Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY 和 RAY-SOL——在 2021 年 Serum 协议被弃用后已被逐步淘汰。
攻击者绕过旧AMM V3程序中的验证检查,在不存入相应资产的情况下铸造新的流动性提供者代币,然后提取并转换头寸。攻击者的 Solana 地址以“Bq33QVk”结尾。以美元计算,攻击者窃取了近 900,000 美元的 USDC、约 357,000 美元的 SOL 和价值 86,000 美元的 RAY。
该漏洞源于对旧版 AMM V3 程序中的 LP 铸币地址验证不充分。由于该程序未能正确验证 LP 铸币,攻击者创建了一个新铸币并将其用作 LP 代币,从而有效地绕过了旨在管理流动性消除的比例检查。
Raydium 迅速采取行动以控制后果。假名 Raydium 贡献者 0xInfra 通过 X 证实了这一事件,并表示当前用户没有受到影响,并且自已弃用的矿池被淘汰以来无法通过平台的 UI 与已弃用的矿池进行交互。该项目确认,所有受影响用户的全额赔偿将直接通过其财务部门处理,涵盖所有五个受影响池的全部 134 万美元。 Raydium 的核心贡献者还宣布对所有主网程序进行全面的安全审查,以验证任何活动代码中不存在类似的逻辑缺陷。
随着 DeFi 攻击的增加,Solana 交易所 Raydium 遭受了 134 万美元的攻击
机器中的幽灵
这一事件引发了一个在 DeFi 领域变得越来越令人不安的问题:正式退役但从未完全从区块链中删除的代码会发生什么?
这一损失表明,在协议的用户界面、SDK 和主要产品路线转移到其他地方后很长一段时间内,旧的流动性池仍可能面临财务风险。尽管受影响的合约已从 Raydium 当前的应用程序界面和活跃的流动性堆栈中逐步淘汰,但它们仍然在链上持有活动资产。
由于智能合约是不可变的,因此完全删除仍持有资金的旧代码绝非易事。这一事件显示了 DeFi 的一个真正弱点:旧合约仍然可能成为寻找边缘案例的攻击者的目标。 Raydium 已过渡到较新的 AMM 版本,包括 V4 和 V5,它们利用虚拟供应机制以及更严格的帐户验证协议,但旧程序的弃用并没有消除其链上足迹。
据区块链调查员 Spectre 称,在窃取 Solana 上的资产后,这些资金被桥接至以太坊,目前正在通过 Tornado Cash 进行洗钱。这种退出路径——连接以太坊,存入受制裁的混合器——已经成为寻求使恢复工作复杂化的 DeFi 开发者熟悉的剧本。美国当局于 2022 年制裁了 Tornado Cash,其继续用于洗钱活动,为监管机构主张对 DeFi 协议进行更严格的监管提供了理由。
Raydium (RAY) 价格走势图
安全形势不断恶化
Raydium 黑客攻击 当下 DeFi 的安全记录正受到严格审查。到 2026 年,该行业因黑客攻击和漏洞利用已经损失了超过 7.5 亿美元,这主要是由于约 2.92 亿美元的损失造成的。 KelpDAO 漏洞利用 以及价值 2.85 亿美元的漂移协议泄露事件。
4 月 1 日,朝鲜黑客组织花了六个月的时间通过社交工程侵入基于 Solana 的 DEX,Drift Protocol 损失了 2.85 亿美元,而 KelpDAO 的 LayerZero 桥则于 4 月 19 日损失了 2.92 亿美元的 rsETH。仅这两起事件就造成了 4 月份 DeFi 总损失的 95%,引发了大规模退出 DeFi,并跻身 2021 年以来十大黑客攻击之列。
当前环境尤其令人担忧的是攻击面不断扩大。 2026 年两个最大的漏洞均不涉及智能合约漏洞——代码审计、形式验证和错误赏金计划都无法阻止 Drift 或 KelpDAO。相反,社会工程、受损的基础设施和治理弱点已成为主导因素。
人工智能为威胁格局增添了新的维度,现在在漏洞发现中发挥着有据可查的作用。安全研究员 Taylor Hornby 于 5 月 29 日通过运行与 Anthropic 的 Claude Opus 4.8 模型配对的自定义审计代理框架,发现了 Zcash Orchard 屏蔽池中存在四年的严重漏洞,然后在本地测试环境中编写了完整的工作漏洞。该漏洞可让攻击者在 Orchard 池内铸造无限量的 ZEC 代币而不会被发现,而该漏洞的披露导致 ZEC 在一天之内崩溃了 38% 以上。虽然 零币 这一披露是白帽发现的——并且没有证据表明 Raydium 攻击中使用了人工智能工具——它强调了人工智能辅助审计在安全等式两边的加速能力。
市场反应与展望
市场对 Raydium 漏洞的反应有限。消息披露后 24 小时内,RAY 下跌约 2%,较前一周下跌约 13%,但仍远低于历史高点。
对于更广泛的 DeFi 生态系统来说,该事件的影响超出了美元数字。遗留合约、废弃池和剩余权限设置代表了传统代码审计无法系统解决的一类风险。随着协议的发展和迁移到更新的架构,彻底退役旧基础设施的运营负担——不仅仅是删除 UI 访问,还包括审计和安全地结束仍然有价值的链上合约——已经成为一项紧迫的安全义务。
Raydium事件清楚地提醒我们,在区块链世界中,“弃用”并不总是意味着安全。
