Raydium 在 $1.3M Solana 池被利用後承諾全額退款

Raydium 已承諾全額賠償此次攻擊造成的損失；該次攻擊從 Solana 上建構的五個舊版流動性池中竊取了約 130 萬美元。根據區塊鏈安全公司 PeckShield 和鏈上調查員 Specter 的說法，此次攻擊針對的是已停用的自動做市商（AMM）基礎設施，而目前活躍的 Raydium 流動性池早已不再使用此類設施。該協議表示，現有用戶及活躍流動性池均未受本次事件影響。 Specter 報告指出，Raydium 共被竊取價值 130 萬美元的加密資產。攻擊者最初資金來自 KuCoin，隨後將竊得資金從 Solana 橋接至 Ethereum，並向 Tornado Cash 存入 810 ETH，另向 FixedFloat 存入 7 ETH。 Specter 分享的細節顯示，攻擊者利用了與 Raydium 早期 AMM 設計相關之休眠流動性池中的驗證弱點。透過偽造代幣鑄造（mint）地址，攻擊者成功繞過檢查機制，從受影響的流動性池中提領流動性。遭竊資產包括約 150,177 枚 RAY 代幣、5,603 枚 SOL 及 893,700 USDC。 攻擊發生後，Raydium 表示受影響的流動性池屬於一個已棄用的程式，且無任何活躍用戶參與。團隊補充說明，所有受影響資產將由項目金庫全額承擔，確保仍持有舊版流動性池頭寸的用戶不會蒙受損失。Raydium 強調，本次漏洞利用未波及任何現有用戶，且這些舊版池亦無法透過 Raydium 的使用者介面（UI）進行互動。 PeckShield 的追蹤數據顯示，部分被竊資金在攻擊後經由隱私工具轉移。該安全公司報告指出，約 810 ETH 已存入 Tornado Cash，另有 7 ETH 轉入 FixedFloat。資金經 Tornado Cash 混合後可能增加資產追蹤難度；不過該混幣器已於 2025 年 3 月自美國財政部制裁名單中移除。 涉及非活躍程式碼的安全事件，已成為去中心化金融（DeFi）領域反覆出現的隱憂。近期，Token of Power 亦遭遇另一起獨立攻擊，導致一個流動性池損失逾 150 萬美元。這類事件凸顯了遺留基礎設施持續存在的風險。 對用戶作出賠償承諾，對 Raydium 並非首次。該協議曾於 2022 年 12 月遭遇重大安全事件：一名管理員私鑰遭入侵，致使活躍流動性池遭受損失。當時，一項治理提案批准動用回購費用及團隊已解鎖代幣，用以賠償受影響的流動性提供者（LP）。本次最新應對措施沿襲相同路徑，項目方確認將動用金庫資金，使受影響用戶獲得全額補償。 市場反應相對平靜。撰文時數據顯示，Raydium（RAY）代幣交易價格約為 0.57 美元，過去 24 小時跌幅不足 1%；Solana（SOL）同期亦小幅走低，下跌近 2%，至約 63.88 美元。儘管調查人員持續追蹤被竊資產流向，PeckShield 與 Specter 提供的資訊均表明，本次攻擊僅限於過時基礎設施，並未波及 Raydium 當前的交易系統。