币圈界报道：

Raydium 遗留协议漏洞被利用，五处休眠资金池遭劫持

6月10日，一名黑客从Solana链上Raydium交易所五个长期停用的流动性池中盗取资金。这些池自2021年相关代码废弃后便不再启用，且当前用户无法通过任何官方入口访问。事件由PeckShield首次标记，指向一类被称为‘僵尸流动性’的链上遗留资产。这再次暴露了去中心化金融领域一个深层难题：如何彻底清除仍持有真实价值的过时智能合约。

技术缺陷致旧合约沦陷：伪造LP代币完成资金掠夺

据Raydium发布的详细报告，漏洞源于其已停用的AMM V3系统，该系统最初为配合已崩溃的Serum订单簿而设计。攻击者利用合约在处理流动性提供者（LP）代币时的验证缺失——系统仅检查代币总供应量，却未核实铸币地址。攻击者仅需创建一个供应量为1的虚假LP代币，即可绕过风控，实现对整个资金池的清空。

受波及的五个资金池分别为：Sollet USDT–RAY、Sollet ETH–RAY、SRM–RAY、USDC–RAY和RAY–SOL。被盗资产包括约150,177枚RAY、5,603枚SOL及893,700枚USDC。这些池自Serum崩盘以来已沉寂多年，目前无法通过主流界面或SDK进行操作。异常资金流动被追踪至攻击者钱包地址4WnP…33QVk。

跨链转移与混币操作掩盖行踪，追踪难度加大

攻击发生后，攻击者立即启动洗钱流程。被盗资产经deBridge协议从Solana跨链至以太坊，其中约810枚ETH转入隐私混币器Tornado Cash，另有7枚通过FixedFloat平台完成即时兑换。该钱包初始资金来源疑似KuCoin，显示出典型的中等规模攻击者行为模式。此类快速跨链操作在当前无需许可的生态中极为普遍，凸显了追赃难、执法难的核心困境。

透明应对获认可：团队公布细节并承诺全额补偿

此次事件紧随Transit Finance近188万美元损失之后，再度揭示即便安全机制不断演进，攻击者仍在持续寻找多链系统的薄弱环节。面对舆论压力，Raydium核心贡献者0xINFRA迅速发布深度分析帖，公开披露攻击者地址、受影响池名、具体资产数额及根本原因。

声明明确指出，本次攻击仅涉及已废弃的旧版合约，所有现行主网程序（含现代AMM与集中流动性版本）均未受损。团队已启动对全协议栈的安全审查，并承诺由资金库承担全部损失，确保流动性提供者零经济损失。同时，一份包含完整数据的公开Google表格向社区开放，强化了其透明治理形象。

行业反思：弃用≠安全，历史代码仍是风险温床

作为2021年诞生于Solana生态的混合型去中心化交易所，Raydium曾是该链最重要的交易基础设施之一。随着Serum项目因FTX事件崩溃，其关联组件陆续停用。然而由于区块链的不可篡改特性，那些仍存有资金的旧合约难以被完全移除。

此次134万美元的损失揭示了一个现实：即使功能已废弃，只要合约仍保有余额，就可能成为攻击目标。社区成员评论称：“弃用不是终结，而是遗忘——直到有人重新想起。”

数据显示，2026年5月全球加密领域已有超8400万美元因数十起攻击事件流失，表明新旧协议皆具吸引力。随着Solana锁定价值持续攀升，成熟协议必须对其全生命周期安全负责，而非仅聚焦最新功能。此事件或将推动更多项目建立定期遗留代码审计机制与强制停用流程。

市场反应平稳：代币价格小幅回调，信任未动摇

根据CoinMarketCap数据，当前RAY代币报价为0.5703美元，市值达1.534亿美元。过去24小时内价格下跌约3.5%，交易量约为1250万美元。尽管遭遇攻击，价格波动幅度有限，反映出市场对Raydium快速响应能力的信任，以及事件影响范围局限的共识。

值得注意的是，活跃资金池与正常用户行为未受干扰。投资者普遍认为，此次事件属于孤立性技术问题，且团队采取了负责任的补救措施。透明沟通与及时赔偿有效缓解了负面情绪，有助于维护协议长期声誉。

结语：安全是一场贯穿生命周期的持久战

此次事件再次证明，真正的安全并非一蹴而就，而需贯穿协议从部署到退役的全过程。唯有对历史遗留代码保持警惕，主动识别、清理或加固潜在风险点，才能构建可持续的信任体系。对于仍在活跃池中参与的用户而言，当前无任何风险，且赔偿方案已在执行中。持续关注老合约，是守护DeFi生态安全的必修课。