2026 年 6 月 10 日,安全漏洞导致 Solana 区块链上的 Raydium 去中心化交易所 (DEX) 损失约 134 万美元的加密货币资产。这次攻击针对的是 Raydium 旧版自动做市商 (AMM) V3 计划中的五个已弃用的流动性池。
黑客利用了旧智能合约代码中的漏洞,特别是该程序未能正确验证流动性提供商(LP)铸币地址。通过创建和提供伪造的 LP 代币,攻击者欺骗了合约的内部会计以释放矿池的实际资产。被盗资金包括约 900,000 美元的 USDC、357,000 美元的 SOL 和 86,000 美元的 RAY 代币。
被利用的矿池包括 Sollet USDT–RAY、Sollet ETH–RAY、SRM–RAY、USDC–RAY 和 RAY–SOL。漏洞利用后,资金从 Solana 区块链桥接到以太坊,随后通过加密货币混合器 Tornado Cash 进行清洗,这是此类事件中混淆交易轨迹的常见模式。
此漏洞利用的一个关键方面是已弃用的 AMM V3 程序的状态。尽管 Raydium 在更新其架构后于 2021 年逐步淘汰了这一遗留系统,但底层智能合约和锁定在其资金池中的资金在链上仍然活跃且可调用。该程序只是从用户界面中删除,而不是停用。
假名 Raydium 贡献者 0xInfra 确认该问题是旧程序中的一个独立逻辑缺陷,并表示 Raydium 当前的主网程序不存在相同的漏洞。该事件凸显了去中心化金融中持续存在的风险:如果协议治理没有正确迁移或冻结,仍然持有活跃资金的已退役或已弃用的智能合约可能会成为主要目标。
RAY 代币的价格即时反应有限,在消息报道后 24 小时内上涨 2%。然而,它仍较历史高点大幅下跌。
此事件明确提醒 DeFi 协议及其用户全面协议生命周期管理的重要性,包括安全迁移或关闭持有用户资金的遗留系统。