Raydium漏洞事件概述
Raydium承诺将全额赔偿因漏洞而损失的约130万美元,这笔资金来自五个基于Solana的旧版流动性池。根据区块链安全公司PeckShield和链上调查员Specter的报告,此次攻击针对的是已退役的自动化做市商基础设施,这些基础设施不再被Raydium的活跃流动性池使用。
攻击细节
该协议表示,当前用户和活跃流动性池未受到此次事件的影响。PeckShield和Specter的报告称,攻击者从KuCoin获得初始资金,并将被盗资金从Solana桥接到以太坊,随后将810个ETH存入Tornado Cash,7个ETH存入FixedFloat。
Specter分享的细节显示,攻击者利用了与Raydium早期AMM设计相关的休眠池中的验证漏洞。通过使用假铸币地址,攻击者能够绕过检查,从受影响的池中提取流动性。
被盗资产包括约150,177个RAY代币、5,603个SOL和893,700个USDC。攻击发生后,Raydium表示,受影响的池属于一个已弃用的程序,没有活跃用户参与。
赔偿措施
团队补充说,所有受影响的资产将由项目金库覆盖,以防损失落在仍然接触旧版流动性池的用户身上。Raydium意识到涉及其早期AMM V3程序的漏洞,该程序在2021年已被淘汰。Raydium的当前用户未受到此漏洞的影响,也无法通过用户界面与这些池进行交互。
资金流动与市场反应
PeckShield的追踪数据显示,部分被盗资金在漏洞发生后通过隐私工具进行了转移。该安全公司报告称,约810个ETH被存入Tornado Cash,另有7个ETH转移至FixedFloat。通过Tornado Cash的资金流动可能会使追踪资产的工作变得复杂。
PeckShield指出,这些转账是在以太坊基础的资金从Solana桥接后进行的。该混合器在2025年3月从美国财政部的制裁名单中移除。
涉及非活跃代码的安全事件在去中心化金融领域已成为一个反复出现的问题。正如crypto.news之前报道的,Token of Power在本周早些时候遭遇了另一起漏洞,导致超过150万美元的流动性池被盗,攻击者操纵了代币余额并提取了WETH储备。
总结
这两个事件涉及不同的协议和攻击方式。Raydium的赔偿承诺并不新鲜。该协议在2022年12月面临另一起重大安全事件,当时管理员密钥被泄露,导致活跃流动性池的损失。那时,治理提案批准使用回购费用和团队代币的归属来补偿受影响的流动性提供者。
此次回应遵循类似的做法,项目确认将使用金库资金来弥补用户损失。市场反应相对平淡。截至撰写时的数据表明,Raydium(RAY)的交易价格接近0.57美元,过去24小时内下跌不到1%。同一时期,Solana(SOL)也有所下滑,跌幅接近2%,约为63.88美元。
尽管调查人员继续追踪被盗资产,但PeckShield和Specter的信息表明,此次漏洞仅限于过时的基础设施,而非Raydium当前的交易系统。
