Raydium 漏洞窃取了价值 130 万美元的旧版 Solana 池资金

Raydium（RAY）於週三遭駭客攻擊，損失約 130 萬美元，事件導致 Solana（SOL）上五個舊版流動性池被抽乾。團隊確認其財庫將全額承擔此項損失。區塊鏈安全公司 PeckShield 與鏈上調查員 Specter 已標示此事件。然而，此次攻擊僅涉及已停用的自動做市商（AMM）程式碼，現行運作中的流動性池與當前用戶均未受影響。 根據 Specter 的分析，攻擊者利用了與 Raydium 早期 AMM 設計相關之休眠流動性池中的一處驗證漏洞；透過偽造代幣鑄造（mint）位址，使其得以在未被察覺的情況下提領流動性。遭竊資產包括約 150,177 枚 RAY、5,603 枚 SOL，以及 893,700 枚 USD Coin（USDC）。攻擊者最初資金來自 KuCoin，隨後將資金轉移至 Ethereum（ETH）。PeckShield 追蹤到其中 810 枚 ETH 流入 Tornado Cash，另 7 枚 ETH 則轉至 FixedFloat。 美國財政部已於 2025 年 3 月將該混幣器（mixer）從制裁名單中除名。駭客經常透過混幣器轉移資金以切斷鏈上追蹤路徑，因而大幅增加資產追回難度。 Raydium 表示，受影響的流動性池屬於已被棄用的程式，且無任何活躍使用者互動。與此同時，團隊承諾將從其財庫中全額賠償受影響資產。該協議曾在 2022 年 12 月面臨過類似考驗：當時因管理員金鑰遭竊，導致活躍流動性池遭抽乾；事後經由治理投票，動用回購手續費及團隊已釋出但尚未解鎖的代幣，對流動性提供者進行補償。 市場整體對此次安全事件反應平淡。截至本文撰寫時，RAY 價格過去 24 小時內跌幅不到 1%，報約 0.57 美元；同理，SOL 市場價格亦微跌近 2%，至約 63.88 美元。本次事件凸顯：即便遺留程式碼早已停用，仍可能長期成為攻擊目標。至於調查人員能否成功追蹤經混幣器處理的資金，未來數日或可見分曉。