Raydium (RAY) 周三证实存在漏洞,导致 Solana 网络上的五个旧流动性池损失约 130 万美元。该团队表示,其财政部将全额赔偿损失。
区块链安全公司 PeckShield 和链上调查员 Spectre 确认了这一事件。此次攻击针对已退役的自动做市商 (AMM) 代码,目前所有活跃池和用户均不受影响。
根据 Spectre 的分析,攻击者利用了与 Raydium 早期 AMM 设计相关的休眠池中的验证缺陷。通过使用虚假的铸币地址,他们能够在不被发现的情况下提取流动性。被盗资产包括大约 150,177 RAY、5,603 SOL 和 893,700 美元硬币。
攻击者的初始资金被追踪到 KuCoin,随后收益转移到以太坊。 PeckShield 报告称,810 ETH 被注入 Tornado Cash 混合器,另外 7 ETH 被发送到 FixFloat。尽管美国财政部于 2025 年 3 月将 Tornado Cash 从制裁名单中除名,但混合器仍然是剥削者寻求掩盖被盗资金链上踪迹的常用工具,从而使追回工作变得更加复杂。
Raydium 强调,受影响的池是已弃用程序的一部分,没有活跃的用户交互。该协议之前曾面临过安全挑战,包括 2022 年 12 月发生的一起涉及管理密钥泄露导致活动池耗尽的事件。之前的事件是通过治理投票解决的,投票使用回购费用和既得团队代币来偿还受影响的流动性提供者。
市场对最新漏洞的反应平淡。 RAY 的价格在过去 24 小时内下跌了不到 1%,截至撰写本文时交易价格接近 0.57 美元。 
同样,Solana (SOL) 的价格下跌近 2%,至约 63.88 美元。
该事件凸显了休眠遗留代码在退役后很长时间所带来的持续风险。未来几天,调查人员能否成功追查这些混合资金可能会变得更加清楚。