合約下線不只是一項文檔標註工作,而是必不可少的安全管控環節。
撰文:Gino Matos
編譯:Luffy,Foresight News
TL;DR:
- 黑客利用 Raydium 早已停用的 V3 自動做市商資金池盜走了約 134 萬美元資產。
- 這起事件暴露一個普遍問題:DeFi 項目下線的舊合約仍在鏈上正常運行,這些被遺忘的底層設施,已然成為易被忽視的攻擊目標。
- 公開報告顯示,自 2025 年 3 月以來,業內已發生至少 8 起同類老舊合約被盜事件,這意味著還有大量無人打理的舊代碼仍可被外部調用。
近日,Raydium AMM V3 的一個漏洞造成了 134 萬美元損失,該項目與當前產品體系之外的五個資金池相關,這些資金池不受 Raydium 的 UI 或 SDK 支持,並且普通用戶無法訪問,但最終還是被黑客利用。
此次攻擊瞄準了行業內無人重視的老舊合約與底層設施,暴露出智能合約全生命週期管理的重大漏洞,而這類問題並非只出現在這一家 Solana 生態的去中心化交易所身上。
被忽略的風險類別
據公開的安全事故報告統計,從 2025 年 3 月至今,明確因廢棄、淘汰、老舊合約遭到攻擊的案例已有至少 8 起,累計損失金額約 1080 萬美元。
如果把老舊資金池、舊版配套產品引發的安全事故一併納入統計,相關事件數量達到 10 起(含本次 Raydium 被盜),總損失規模約為 2250 萬美元。
目前業內的安全事故追蹤平臺,大多按照技術成因劃分攻擊類型,常見分類包括:智能合約代碼漏洞、權限管控失效、預言機篡改、私鑰洩露、跨鏈橋缺陷等。
而殭屍合約(即項目宣佈停用、但鏈上仍可正常調用的老舊合約),屬於完全不同的風險維度,它是合約生命週期管理出現問題導致的安全事故,卻始終被淹沒在各類常規漏洞的統計條目裡,沒有被單獨歸類。
Raydium 的 V3 自動做市商資金池之所以被廢棄,根源是其依賴的 Serum 項目正式關停,導致這套舊合約徹底失去原有功能,對應的流動性資產也一直閒置在鏈上。
Raydium 目前在用的新版合約,會雙重校驗兩大關鍵信息:一是通過總量校驗機制核對資產佔比,二是核驗流動性代幣的鑄造地址以及各類關聯賬戶信息。
但這套老舊的 V3 合約完全省略了這兩道校驗流程。黑客利用這一漏洞,偽造出新的流動性代幣並冒充合法憑證,直接繞過所有風控規則。
本次事件中,共計約 150177 枚 RAY、5603 枚 SOL 以及 893700 枚 USDC 被盜,這些資產長期存放在平臺舊資金池中,雖脫離主流業務,但鏈上調用權限從未關閉。
八起案例暴露共性問題
從 2025 年至今,多家知名 DeFi 項目在舊合約上栽過跟頭, 所有事件都呈現出相同特徵:項目方宣稱當前版本產品、活躍用戶均不受影響,但由於舊合約未徹底關停,最終仍由項目金庫承擔全部損失。
為什麼舊合約風險會被忽視
目前業內絕大多數安全事故分類體系,都聚焦於攻擊手段、篡改對象、代碼故障點,屬於 「從技術漏洞入手」 的分析視角。這也導致殭屍合約類事故被掩蓋,這類問題的核心,從來不是代碼編寫失誤,而是項目本應徹底關停舊合約,卻並未執行。
2025 年一份行業研究論文,梳理了 2022 至 2025 年間全球 50 起重大加密安全事故,累計損失超 10 億美元。研究指出,高危害的鏈上攻擊往往是鏈式風險疊加的結果,會同時涉及人為操作、日常運維、經濟模型、合約生命週期、社區治理等多個層面。
論文提出了一套四層根源分析框架,明確將合約生命週期管理漏洞、社區治理漏洞,與代碼編寫漏洞劃分為獨立的風險類別。而殭屍合約問題,正是典型的生命週期管理漏洞。但在現有的安全統計體系中,這類事故一概被歸入 「代碼漏洞」,對應的損失數據也被掩蓋在其他分類之下,沒能引起行業足夠重視。
警惕 「合約墳場」:老舊設施已成新攻擊熱點
如果 DeFi 項目始終把 「合約關停」 當作一件可有可無的小事,只在產品文檔中標註 「該合約已停用」,卻不轉出閒置資產、關閉調用功能、持續監控狀態,那麼黑客就會持續盯上這片 「合約墳場」。
每一個大型 DeFi 項目的歷史部署記錄,如今都成了黑客可檢索、可利用的攻擊目標。目前統計的 2250 萬美元損失,僅僅是公開曝光案例的數值,真實風險遠高於此。
那些存有資產、但脫離主流用戶使用流程的老舊資金池、歷史授權接口、早期合作對接模塊,受到的運維監控力度遠低於現行業務系統,恰恰是黑客首選的攻擊目標。
想要改變現狀,首先要把 「殭屍合約」 列為獨立風險類別、單獨統計事故;其次要將合約下線流程納入標準化安全流程,和代碼審計放在同等位置。做好全生命週期運維,才能有效縮小攻擊範圍。
目前行業內的處理方式大同小異,Raydium 動用項目金庫賠付了 134 萬美元損失,Transit Finance、Huma Finance 也均由項目方承擔用戶損失。
這也意味著,合約下線不再只是一項文檔標註工作,而是必不可少的安全管控環節。
合約下線的七大安全管控標準
針對舊合約關停,行業可建立標準化管控流程,具體要求及作用如下:
單純在文檔中標註 「合約已停用」,只是把安全風險轉嫁給了項目金庫,攻擊隱患卻依舊存在。只在產品層面宣佈下線、不在技術層面徹底關停,舊合約就會一直保持可調用狀態:項目團隊疏於看管,黑客卻時刻虎視眈眈。
DeFi 項目的價值,不只體現在當下的資產鎖倉規模,也沉澱在一路走來的歷史代碼與底層架構中。而這些被遺忘的歷史,如今已然成為新的安全突破口。
