Raydium承諾在駭客從已棄用資金池竊取134萬美元後賠償用戶損失

一名駭客利用 Raydium 舊版 AMM V3 程式中的漏洞，從自 2021 年起已廢棄的五個流動性池中抽走約 134 萬美元。 

Raydium 團隊確認已知悉此次未經授權的流動性提取事件，並承諾承擔相關損失。

此次攻擊針對的是這家基於 Solana 的去中心化交易所五年前已停用的程式碼。 

據 Raydium 團隊成員 Infra 表示，由於這些流動性池多年來已無法透過平台介面存取，目前沒有任何現有用戶受到影響。Infra 也表示，「全額賠償將由 Raydium 的國庫負責處理。」

攻擊者是如何利用這些已廢棄的流動性池的？

據 Infra 表示，「此漏洞源於一個獨立的邏輯缺陷，並非金鑰洩露或權限層級問題，因此不存在擴散風險。」

安全研究員 Param 在 X 上表示，攻擊者在 Raydium 2021 年的舊版程式碼中發現了一個缺陷。攻擊者識別出五個仍持有資金的廢棄流動性池，並偽造了所有權憑證。 

這些偽造的 LP 代幣欺騙了舊版智能合約，使其將攻擊者視為合法的流動性提供者，從而允許其全額提取池中資產。

區塊鏈安全公司 F12 對此進行了鏈上追蹤，佐證了上述說法。此次攻擊利用了一個發行量僅為一個單位的偽造 LP 代幣。當攻擊者使用該代幣提交提款請求時，舊版程式釋放了整個池的餘額。

攻擊者將竊取的資金轉移到哪裡了？

PeckShieldAlert 報告稱，攻擊者的錢包最初透過 KuCoin 獲得資金。在抽走 Solana 上的流動性池資金後，他們透過 deBridge 將竊取的資金跨鏈至以太坊，共獲得約 810 ETH。 

攻擊者隨後將大部分資金存入 Tornado Cash——這是一個常被用來混淆交易來源的混幣協議。根據 PeckShieldAlert 的分析，他們還透過 FixedFloat 轉移了 7 ETH。

據 Raydium 團隊表示，攻擊者的地址為 4WnPebowR4HHfumvNPaDjG6Pa5Hi1jxLm6xmmBq33QVk。

舊版程式碼，現有風險

據 Infra 表示，Raydium 目前的程式仍在正常運行。根據 DefiLlama 數據，該協議在 Solana 上的總鎖倉價值達 7.9656 億美元，過去七天的 DEX 交易量超過 11 億美元。 

遭受攻擊的 AMM V3 程式與目前正在使用的流動性池是相互獨立的。

然而，這並非 Raydium 首次遭受安全漏洞攻擊。2022 年 12 月，該協議因私鑰洩露損失了 440 萬美元。

此次最新的安全漏洞事件，進一步加劇了 2026 年加密貨幣攻擊事件幾乎每日發生的態勢。 

Cryptopolitan 此前報導，CertiK 僅在 5 月份就記錄了 60 起已確認的安全事件，總損失達 6830 萬美元，是今年月度事件數量最高的一個月。其中，程式碼漏洞造成的損失超過 4500 萬美元。

在 Raydium 漏洞事件發生的幾天前，針對 Gnosis Pay 和 TesseraDAO 的攻擊已令相關項目損失至少 250 萬美元，而 Flooring Protocol 的漏洞也透過共用程式碼蔓延至其分叉項目 Asterisk。

截至 5 月底，2026 年加密貨幣攻擊事件造成的累計損失已接近 13 億美元。PeckShield 報告稱，僅跨鏈橋相關攻擊就佔其中的 3.407 億美元。

Raydium 團隊表示，其核心貢獻者正在對所有主網程式進行安全審查。

雖然管理層表示將對受影響的流動性提供者進行賠償，但 Raydium 尚未披露具體的賠償方式和時間。

最聰明的加密貨幣大腦已在閱讀我們的電子報。想加入嗎？來和他們一起吧。