Raydium 遗留池因弃用代码仍在运行，遭盗134万美元_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Raydium 遗留池因弃用代码仍在运行，遭盗134万美元

2026-06-11 03:02:33

Raydium 遗留 AMM V3 逻辑漏洞导致约 134 万美元资产被盗

Raydium 遗留的 AMM V3 程序存在一处逻辑漏洞，导致五个已弃用的 Solana 流动性池被提取了约 134 万美元。这一事件让被遗忘的去中心化金融（DeFi）基础设施重新面临安全审查。

受影响的池子包括 Sollet USDT-RAY、Sollet ETH-RAY、SRM-RAY、USDC-RAY 和 RAY-SOL。被盗资产包括约 893,700 USDC、150,177 RAY 和 5,603 SOL。这些池子已被逐步淘汰，不再属于 Raydium 当前应用程序界面或活跃流动性体系的一部分，但相关合约仍在链上存有真实资产。

Raydium 当前的任何程序或活跃用户均未受到影响。这一界定虽使事件局限在特定范围内，但并不意味着攻击无害。此次损失表明，即使协议的界面、SDK 和主要产品路径已迁移至别处，旧的流动性池在很长一段时间内仍可能具有财务风险。

逻辑漏洞允许伪造的 LP 代币铸造

攻击的核心在于流动性提供者（LP）代币的验证环节。攻击者创建了一个伪造的 LP 代币，并借此绕过了本应阻止从旧池中未经授权取款的检查机制。

这使得该漏洞有别于普通的钓鱼事件或私钥泄露。攻击路径源于程序逻辑——由于资产仍锁定在已弃用的合约中，该逻辑依然有效。一旦检查失效，攻击者便能抽走滞留在老旧 Solana DeFi 基础设施池中的流动性。

被盗资产随后通过跨链渠道转移，并经由 Tornado Cash 混币器处理，增加了公开追踪的难度。混币器的使用并未改变核心技术问题：当真实价值仍存留于非活跃或已弃用的 DeFi 代码中时，这些代码仍可能成为攻击面。

Raydium 资金库将弥补损失

Raydium 计划从其资金库中补偿受影响的用户，并对所有主网代码进行安全审查。补偿方案应能防止在受攻击池中留有残余资金的用户直接承受财务损失。

更广泛的问题在于运营清理。Raydium 当前文档已明确区分了旧版池与新版推荐路径（包括其版本中的 CPMM 和 CLMM 基础设施及迁移指南）。此次攻击表明，迁移过程同样需要严格审视残余余额、非活跃池、旧权限以及即便从主界面消失后仍可被调用的合约。

DeFi 用户往往认为，一旦已弃用的池子从前端移除，它实际上就已死亡。但链上系统并非如此。一个合约可能对大多数用户不可见，却仍持有资产、接受指令或包含攻击者可直接触及的逻辑。

被遗忘的 DeFi 代码仍是实时风险

Raydium 资金被盗事件是 2026 年一系列安全事件中的又一例，其中经济损失并非唯一重点。此前“力量代币”池被盗案同样表明流动性池可能成为主要目标；而 Syscoin 暂停桥接恢复的过程则凸显了隔离受影响基础设施的重要性，同时避免夸大对底层网络的损害。

Raydium 事件的规模虽不及今年最大的 DeFi 攻击，但其教训极为深刻：已弃用的合约在仍持有资金时绝非无害的档案。协议团队需要制定迁移路径、进行余额清扫、建立预警系统、实施监控，并制定与无许可代码现实相匹配的最终关停方案。

直接损失预计将得到弥补。更深层的考验在于，Raydium 的全面主网审查能否在旧流动性演变为新的实时攻击路径之前，清除其他陈旧的攻击面。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文