登錄
註冊
近日,Solana 生態頭部去中心化交易所 Raydium 遭遇安全事件,其 AMM V3 版本合約中的漏洞導致約 134 萬美元資產被盜。此次攻擊並未針對當前主流業務,而是精準鎖定了五個與現有產品體系脫鉤的老舊資金池。這些資金池因依賴的 Serum 項目關停而失去原有功能,長期處於閒置狀態,且不再受 Raydium 官方 UI 或 SDK 支持,普通用戶無法訪問,但鏈上調用權限卻從未被徹底關閉。午方 AI 梳理發現,這類被遺忘的“殭屍合約”正成爲黑客眼中的新獵場,暴露出智能合約全生命週期管理的重大盲區。
本次攻擊的技術路徑清晰而致命:Raydium 新版合約具備雙重校驗機制,既覈對資產佔比總量,又驗證流動性代幣鑄造地址及關聯賬戶信息;
然而,廢棄的 V3 合約完全省略了這兩道關鍵風控流程。黑客利用這一邏輯缺失,僞造出新的流動性代幣並冒充合法憑證,成功繞過所有安全規則。最終,共計約 150177 枚 RAY、5603 枚 SOL 以及 893700 枚 USDC 從舊資金池中被轉移,這些資產雖脫離主流業務,卻因合約未下線而長期暴露在風險之中。
這一事件並非孤例,而是行業系統性風險的縮影。午方 AI 注意到,從 2025 年 3 月至今,明確因廢棄、淘汰或老舊合約遭到攻擊的案例已至少發生 8 起,累計損失金額約 1080 萬美元。若將老舊資金池及舊版配套產品引發的安全事故一併納入統計,相關事件數量達到 10 起(含本次 Raydium 被盜),總損失規模約爲 2250 萬美元。這些案例呈現出高度一致的特徵:項目方均宣稱當前版本產品與活躍用戶不受影響,但由於舊合約未徹底關停,最終損失均由項目金庫全額承擔。
當前業內的安全事故追蹤體系大多聚焦於技術成因,如智能合約代碼漏洞、權限管控失效、預言機篡改、私鑰泄露或跨鏈橋缺陷等,卻將“殭屍合約”這一獨特的風險維度淹沒在常規分類中。2025 年的一份行業研究論文梳理了 2022 至 2025 年間全球 50 起重大加密安全事故,累計損失超 10 億美元,並指出高危害攻擊往往是鏈式風險疊加的結果,涉及人爲操作、日常運維、經濟模型及合約生命週期等多個層面。該研究提出四層根源分析框架,明確將合約生命週期管理漏洞與代碼編寫漏洞劃分爲獨立類別,但在現有統計中,此類事故仍被錯誤歸入“代碼漏洞”,導致其真實危害被掩蓋。
如果 DeFi 項目僅在產品文檔中標註“合約已停用”,卻未轉出閒置資產、關閉調用功能或持續監控狀態,那麼這些歷史部署記錄便成了黑客可檢索、可利用的“合約墳場”。那些存有資產但脫離主流用戶流程的老舊資金池、歷史授權接口及早期合作模塊,受到的運維監控力度遠低於現行業務系統,恰恰是攻擊者的首選目標。午方 AI 分析認爲,單純依靠文檔標註只是將安全風險轉嫁給了項目金庫,真正的隱患在於技術層面未執行徹底關停。
要改變這一現狀,行業必須將“殭屍合約”列爲獨立風險類別並進行單獨統計,同時將合約下線流程納入標準化安全管控體系,使其與代碼審計享有同等優先級。目前,Raydium、Transit Finance 及 Huma Finance 等項目方均已動用金庫賠付用戶損失,這標誌着合約下線已不再是一紙文書工作,而是必不可少的安全環節。DeFi 項目的價值不僅體現在當下的資產鎖倉規模,更沉澱在一路走來的歷史代碼與底層架構中,而這些被遺忘的歷史,如今已然成爲新的安全突破口。