前言

摘要： 本文說明了近期發生在以 Solana 為基礎的去中心化交易所 Raydium 的一次被利用事件，並將該事件置於日益增加的 DeFi 漏洞的更大背景中。目標是提供一個清晰、事實性的說明，說明發生了什麼、攻擊者如何得手，以及為何遺留程式碼與演變中的攻擊手法對整個加密生態系統很重要。 關鍵要點 包括被利用程式的性質、被竊資產、對當前使用者安全的保證，以及近月來揭露的協議弱點的更廣泛模式。

懶惰包

該利用鎖定了 Raydium 遺留程式碼庫中已棄用的 AMM 池，允許攻擊者鑄造 LP 代幣並提取資金。 透過 Raydium 當前 UI 互動的活躍使用者未受影響，公司打算以金庫資金彌補損失。此事件凸顯了與過時合約相關的風險以及日益增多的 DeFi 攻擊。

正文

以 Solana 為基礎的去中心化交易所 Raydium 遭受一次利用，導致大約 134 萬美元從五個已棄用的流動性池被移走。該漏洞存在於 Raydium 先前逐步淘汰的較舊自動做市商（AMM）程式中。根據 Raydium 一位貢獻者的公開貼文，攻擊者繞過了該棄用程式中的驗證檢查，鑄造了新的流動性提供者（LP）代幣並提取了那些遺留池中持有的資產。

被竊資金包括近 90 萬美元的 USDC 穩定幣、約 35.7 萬美元等值的 SOL，以及約 8.6 萬美元的 RAY（Raydium 的原生代幣）。公司代表強調被妥協的程式屬於其遺留基礎設施，當前主網程式與使用者介面不允許與那些已棄用的池進行互動。因此，Raydium 表示目前透過常規 UI 的使用者未受到影響。公司也釐清此事件並非因金鑰遭竊或權限等級被濫用所致。

從技術上來說，該利用利用了過時 AMM V3 程式中遺留的驗證邏輯薄弱處。透過構造繞過那些檢查的交易，攻擊者能夠創建授予提取權的 LP 份額。這種模式——遺留合約仍留在鏈上並能被互動，即便已退役——在許多區塊鏈上反覆成為風險來源。這凸顯了嚴格棄用程序的重要性，包括移除或鎖定遺留程式路徑，或以其他方式確保它們不能被重新啟用或濫用。

Raydium 宣布計劃動用其金庫資金來覆蓋被盜資金，為受影響的協議流動性提供短期補救，而不是依賴用戶賠償。交易所的公開訊息旨在安撫利害關係人，指出此事件並不代表主動控制金鑰遭到妥協或主要受支持合約存在持續性漏洞。儘管如此，此類事件通常會引起稽核人員、開發者和使用者的審視，並可能壓低代幣市場；在本案中，RAY 因消息而下跌。

此利用是加密領域內 DeFi 事件與漏洞披露增加的一部分。今年早些時候，其他以 Solana 為基礎的專案和 DeFi 協議也遭受了不同類型利用造成的重大損失。多起高知名度案例揭露的問題範圍從智慧合約邏輯缺陷到不良的金鑰管理與經濟假設失誤。在幾個近期案例中，攻擊者利用日益複雜的工具更快速地發現並利用弱點。

觀察者對先進工具（包括 AI 輔助分析）在發現漏洞方面加速作用表達關切。雖然沒有直接證據顯示人工智慧工具被用來發現 Raydium 的該項漏洞，但業界評論指出，AI 可以透過自動化傳統由資深稽核員執行的任務，加速識別可被利用的模式。此趨勢引發辯論：更好的工具可幫助防禦方更快地發現並修補漏洞，但相同的方法也可能讓惡意行為者擴大利用發現的規模。

除工具之外，Raydium 事件重申了對協議團隊與使用者的幾項實務教訓。首先，在鏈上退役程式需要周全措施：僅在 UI 中停止支援並不會從分類帳移除合約代碼，也不一定能中和其可能的執行路徑。其次，維持事件應對計畫與充足的金庫準備金能在發生違規時限制系統性損害。第三，透明且及時的溝通有助於抑制揣測並在短期內維持使用者信心。

從市場角度看，對 RAY 價格的即時影響雖屬適度但值得注意：消息與更廣泛的市場波動令交易者作出反應，導致代幣下跌。長期影響將取決於 Raydium 的補救步驟、社群信任，以及是否在其他地方發現類似的遺留程式碼問題。對於使用者和整合者而言，這一事件提醒人們對第三方合約保持謹慎，並偏好積極維護的池與程式。

總之，Raydium 的利用是對已棄用 AMM 池的有針對性攻擊，造成了可量化的財務損失，但並未牽涉交易所的主動面向使用者系統。此事件突顯了遺留鏈上代碼持續構成的風險，以及在 DeFi 中需要改進的棄用策略、持續稽核與謹慎的營運控管。隨著生態系統演進且工具變得更強大，攻擊者與防禦者都將調整；平衡取決於主動的安全實務與在發現缺陷時及時的補救行動。

關鍵洞見表