Solana去中心化交易所Raydium遭134万美元攻击：DeFi安全风险再抬头

去中心化金融（DeFi）生态再次因安全漏洞陷入动荡。近日，Solana链上知名去中心化交易所Raydium旗下五个已弃用的流动性池遭到攻击，攻击者利用旧版自动做市商（AMM）程序中的验证逻辑缺陷，铸造新的流动性提供者代币并提走约134万美元资产。平台方随即发布公告称，将动用金库储备全额赔付受害用户。此次事件不仅暴露了DeFi协议在代码维护与安全更新上的薄弱环节，也为整个行业敲响了警钟：遗留代码与已停用功能的安全风险正在持续发酵。

事件回顾：134万美元如何被盗？

根据Raydium官方账号发布的技术公告，本次攻击针对的是其V3版本自动做市商程序中已弃用的五个流动性池。这些池早在2021年就已停止使用，且在用户界面中无法访问。然而，攻击者通过构造特定交易，绕过了已弃用程序中的验证逻辑，成功铸造了新的流动性提供者代币（LP token），并将池内的资产转移至自身控制的钱包地址。据统计，此次被盗资产包括约90万美元的USDC、35.7万美元的SOL，以及8.6万美元的RAY代币。

攻击发生后，Raydium平台方在社交媒体上发表声明称，已注意到该漏洞并正在调查。一位自称Raydium贡献者的用户（网名0xInfra）在X平台发帖表示，此次攻击并非由于私钥泄露或权限滥用所致，而是由于遗留代码中的逻辑缺陷被恶意利用。这意味着，即使协议本身已停止维护，其历史版本仍可能成为攻击目标。平台方强调，现有主网程序已针对该类漏洞进行了防护升级，当前用户无需担心资产安全。

DeFi安全困境：遗留代码与攻击手法升级

本次Raydium被盗事件并非孤例。近年来，DeFi协议频繁遭遇安全事件，攻击手法也从简单的私钥泄露演变为复杂的逻辑漏洞利用与智能合约操纵。根据行业数据，2025年至2026年间，已有超过十余个主流DeFi协议因遗留代码或未及时修复的漏洞遭受攻击，总损失金额超过1亿美元。其中，部分攻击者甚至借助AI工具快速分析协议代码，寻找潜在的攻击向量。

遗留代码问题在DeFi行业尤为突出。由于早期版本的协议设计缺陷（如未充分验证输入参数、缺乏重入保护等），即使这些版本已被新版本取代，其历史数据与合约地址仍可能被攻击者盯上。此外，部分开发团队在协议升级后未能及时“关闭”旧版本合约，导致攻击者有机可乘。Raydium此次事件中，被攻击的正是已弃用五年的V3程序，这凸显了代码清理与合约封存工作的重要性。

平台自救：金库赔付能否挽回用户信任？

面对134万美元的巨额损失，Raydium选择主动承担责任，承诺用平台金库储备资金全额赔付受害用户。这一做法在一定程度上缓解了社区的愤怒情绪，但也引发了外界对平台财务健康状况的担忧。根据Raydium公开的财务报告，其金库储备规模足以覆盖此次赔付，但长期来看，频繁的安全事件势必会削弱平台的资金实力与用户信任度。

从行业角度看，主动赔付固然体现了平台的责任意识，但并不能从根本上解决DeFi安全问题。用户更关心的是，协议未来如何避免类似事件再次发生。Raydium在公告中表示，现有主网程序已针对该类漏洞进行了修复，但这一说法能否得到社区验证，还有待时间检验。此外，平台是否会建立更完善的安全审计机制、加强遗留代码管理，也成为外界关注的焦点。

技术根因分析：验证逻辑缺陷与攻击向量

从技术角度分析，此次攻击的核心在于Raydium V3程序中验证逻辑的缺陷。攻击者通过构造特定交易，绕过了原本用于防止无效操作的验证步骤，从而铸造了不应存在的LP代币，并提取了池内资产。这种攻击手法与以往的“重入攻击”或“闪电贷攻击”有所不同，更类似于“状态操纵”漏洞——即通过操纵合约内部状态，实现非授权的资产转移。

安全研究人员指出，此类漏洞通常出现在早期版本的智能合约中，由于缺乏充分的边界检查与状态验证机制，导致攻击者有机可乘。Raydium在公告中承认，此次漏洞并非由于“关键密钥泄露”或“权限滥用”，而是由于代码逻辑本身的缺陷。这意味着，即使协议在设计之初未考虑到恶意攻击场景，也可能在后续运营中暴露出安全隐患。

行业警示：遗留代码清理刻不容缓

Raydium此次事件为整个DeFi行业敲响了警钟：遗留代码与已停用功能的安全风险不容小觑。随着DeFi协议的迭代更新，许多早期版本的合约与功能被弃用或替换，但其历史数据与合约地址仍可能成为攻击目标。因此，协议开发团队必须建立完善的遗留代码清理机制，包括：

1. 合约封存：对于已弃用的合约，应及时将其标记为“已停用”，并在用户界面中隐藏相关入口，避免用户误操作。
2. 代码审计：定期对遗留代码进行安全审计，识别潜在的逻辑漏洞与攻击向量。
3. 社区监督：鼓励安全研究人员与社区用户对协议进行持续监督，及时发现并报告安全隐患。

此外，DeFi协议还应建立更透明的安全事件披露机制，让用户及时了解潜在风险，并参与到安全监督中来。只有通过多方协作，才能有效降低遗留代码带来的安全风险。

用户如何保护自身资产？

对于普通用户而言，面对DeFi协议的安全风险，如何保护自身资产成为首要问题。以下是几点实用建议：

1. 避免与已弃用功能交互：在使用DeFi协议时，用户应避免与已弃用的流动性池、交易对或功能进行交互，以免遭遇意外损失。Raydium此次事件中，被攻击的正是已弃用五年的V3程序，而用户界面早已无法访问这些池。
2. 关注平台安全公告：及时关注协议官方发布的安全公告与漏洞修复进展，避免在未修复漏洞的版本中进行交易。
3. 分散资产存储：避免将大量资产集中存放在单一DeFi协议中，可通过跨链桥或多签钱包等方式分散风险。
4. 使用硬件钱包：对于大额资产，建议使用硬件钱包进行存储，降低私钥泄露或钓鱼攻击的风险。

未来展望：DeFi安全能否走出“攻击—修复”怪圈？

从Raydium被盗事件不难看出，DeFi安全问题已成为行业发展的最大掣肘。尽管近年来安全审计、形式化验证等技术手段不断涌现，但攻击者的手法也在不断升级，特别是借助AI工具快速分析协议代码，寻找新的攻击向量。这意味着，仅靠技术升级已无法完全解决安全问题，行业亟需建立更系统化的安全防护体系。

展望未来，DeFi协议或许可以借鉴传统金融行业的经验，建立类似“存款保险”的机制，由行业协会或保险公司提供安全赔付，降低单一平台的财务压力。同时，监管机构也应加强对DeFi协议的监管力度，推动行业标准化与合规化进程。只有通过技术、管理与监管的多重保障，DeFi生态才能真正走出“攻击—修复”的怪圈，实现可持续发展。

Raydium此次事件再次提醒我们，在追求创新与效率的同时，安全与责任同样不可或缺。对于开发者、用户与监管者而言，这都是一场持久战。