近日，Solana 生态头部去中心化交易所 Raydium 遭遇安全事件，其 AMM V3 版本合约中的漏洞导致约 134 万美元资产被盗。此次攻击并未针对当前主流业务，而是精准锁定了五个与现有产品体系脱钩的老旧资金池。这些资金池因依赖的 Serum 项目关停而失去原有功能，长期处于闲置状态，且不再受 Raydium 官方 UI 或 SDK 支持，普通用户无法访问，但链上调用权限却从未被彻底关闭。午方 AI 梳理发现，这类被遗忘的“僵尸合约”正成为黑客眼中的新猎场，暴露出智能合约全生命周期管理的重大盲区。

本次攻击的技术路径清晰而致命：Raydium 新版合约具备双重校验机制，既核对资产占比总量，又验证流动性代币铸造地址及关联账户信息；

然而，废弃的 V3 合约完全省略了这两道关键风控流程。黑客利用这一逻辑缺失，伪造出新的流动性代币并冒充合法凭证，成功绕过所有安全规则。最终，共计约 150177 枚 RAY、5603 枚 SOL 以及 893700 枚 USDC 从旧资金池中被转移，这些资产虽脱离主流业务，却因合约未下线而长期暴露在风险之中。

这一事件并非孤例，而是行业系统性风险的缩影。午方 AI 注意到，从 2025 年 3 月至今，明确因废弃、淘汰或老旧合约遭到攻击的案例已至少发生 8 起，累计损失金额约 1080 万美元。若将老旧资金池及旧版配套产品引发的安全事故一并纳入统计，相关事件数量达到 10 起（含本次 Raydium 被盗），总损失规模约为 2250 万美元。这些案例呈现出高度一致的特征：项目方均宣称当前版本产品与活跃用户不受影响，但由于旧合约未彻底关停，最终损失均由项目金库全额承担。

当前业内的安全事故追踪体系大多聚焦于技术成因，如智能合约代码漏洞、权限管控失效、预言机篡改、私钥泄露或跨链桥缺陷等，却将“僵尸合约”这一独特的风险维度淹没在常规分类中。2025 年的一份行业研究论文梳理了 2022 至 2025 年间全球 50 起重大加密安全事故，累计损失超 10 亿美元，并指出高危害攻击往往是链式风险叠加的结果，涉及人为操作、日常运维、经济模型及合约生命周期等多个层面。该研究提出四层根源分析框架，明确将合约生命周期管理漏洞与代码编写漏洞划分为独立类别，但在现有统计中，此类事故仍被错误归入“代码漏洞”，导致其真实危害被掩盖。

如果 DeFi 项目仅在产品文档中标注“合约已停用”，却未转出闲置资产、关闭调用功能或持续监控状态，那么这些历史部署记录便成了黑客可检索、可利用的“合约坟场”。那些存有资产但脱离主流用户流程的老旧资金池、历史授权接口及早期合作模块，受到的运维监控力度远低于现行业务系统，恰恰是攻击者的首选目标。午方 AI 分析认为，单纯依靠文档标注只是将安全风险转嫁给了项目金库，真正的隐患在于技术层面未执行彻底关停。

要改变这一现状，行业必须将“僵尸合约”列为独立风险类别并进行单独统计，同时将合约下线流程纳入标准化安全管控体系，使其与代码审计享有同等优先级。目前，Raydium、Transit Finance 及 Huma Finance 等项目方均已动用金库赔付用户损失，这标志着合约下线已不再是一纸文书工作，而是必不可少的安全环节。DeFi 项目的价值不仅体现在当下的资产锁仓规模，更沉淀在一路走来的历史代码与底层架构中，而这些被遗忘的历史，如今已然成为新的安全突破口。