Raydium 的 legacy AMM V3 程式遭到利用,約有 134 萬美元的價值。攻擊者濫用已停用的 Solana 池子中的流動性提供者(LP)鑄幣驗證缺陷。Raydium 團隊表示,該問題僅局限於一個在 2021 年已淘汰的舊 AMM V3 合約,未影響平台目前的流動性程式或活躍用戶。此次攻擊掏空了與 legacy 程式相關的五個已停用流動性池。根因被認定為一個自包含的驗證缺陷,涉及 LP 鑄幣檢查,使攻擊者能在使用無效或假 LP 代幣條件時操縱池子邏輯。這起事件也增加了去中心化交易所基礎設施失敗事件的持續增長名單,並引發人們對於 DeFi 協議如何管理已退休合約與剩餘流動性的疑問。
攻擊者在五個已停用池子中濫用 LP 鑄幣驗證缺陷
根據 Raydium 核心貢獻者 Infra 的說法,根因是一個自包含的驗證缺陷,涉及 LP 鑄幣檢查。攻擊者能透過使用無效或假 LP 代幣條件來操縱池子邏輯,讓資金得以從本不應再承擔重大用戶風險的池子中被提取出來。此次利用行為掏空了與 legacy 程式相關的五個已停用流動性池。
受影響的 AMM V3 程式在數年前就已被取代,但剩餘的池子仍持有足夠的資產,使得利用行為具備獲利性。攻擊者不需要入侵 Raydium 目前的產品。相反地,攻擊鎖定的是舊版流動性設計中的一個狹窄驗證弱點。
Raydium 將針對受影響損失提供金庫補償
Raydium 表示,將由其金庫補償受影響損失。團隊指出,目前的 Raydium 用戶不受影響,因而降低了在 Solana 去中心化金融領域的即時連鎖風險。此回應很重要,因為此次利用涉及的是過時的基礎設施,而非面向使用者的現行池子,但損失仍然引發了人們對於去中心化協議如何管理已退休合約、剩餘流動性以及長尾型智慧合約暴露的疑問。
區塊鏈安全公司在清算(drain)後追查了攻擊者的資金流向。據稱,資金透過 KuCoin(一個 Solana-to-Ethereum 橋接)、Tornado Cash 以及 FixedFloat 進行路由。這條洗錢路徑凸顯了:即使是相對較小的 DeFi 利用事件,一旦資產跨越集中式交易所、橋接與隱私工具,後續資產追回也會變得多麼迅速且困難。
DeFi 中的 legacy 合約仍構成持續的安全風險
此事件凸顯了去中心化金融中一個反覆出現的問題:即便在較新的系統取代後,舊合約仍可能在財務上維持其相關性。協議通常會使較早版本失效(deprecate),但無法輕易從公鏈上已部署的智慧合約中移除。若用戶、機器人或被遺忘的流動性仍與那些程式保持連結,那麼即使基礎設施在數年後不再活躍開發,仍可能成為攻擊面。
因此,對 DeFi 協議而言,失效(deprecation)不僅是產品管理的工作。它也是一項安全流程。團隊必須辨識非活躍池子、提醒用戶、移除前端存取、監控剩餘餘額,並建立清楚的遷移路徑。若條件允許,他們也可能需要緊急控管或誘因,在這些已淘汰的池子成為目標之前先行清空。
更廣泛的市場意涵是:DeFi 安全風險並不僅限於新啟動的合約。成熟協議會承載歷史程式碼、舊版流動性架構以及 legacy 整合,這些可能無法像目前系統那樣獲得同等層級的監控。隨著 DeFi 越來越機構化,稽核方與投資人將更頻繁地追問:協議是否有正式的生命週期流程,能在安全前提下淘汰合約。
FAQ
Raydium 的 legacy AMM V3 利用事件是由什麼造成的?
此次利用由已停用 Solana 池子中的流動性提供者鑄幣驗證缺陷所致。攻擊者透過使用無效或假 LP 代幣條件來操縱池子邏輯,使資金得以從 5 個已停用的流動性池提取出來。這些池子與在 2021 年已淘汰的 legacy AMM V3 程式相關。
Raydium 如何回應 134 萬美元的利用事件?
Raydium 表示,將由其金庫補償受影響損失。團隊確認,該問題僅局限於舊的 AMM V3 合約,不影響平台目前的流動性程式或活躍用戶,因而將跨越 Solana 去中心化金融的即時連鎖風險降至最低。
