На примере взлома Raydium: новые угрозы DeFi скрыты в забытых старых контрактах
**Уязвимость устаревших контрактов DeFi: взлом Raydium на $1.34 млн вскрыл системную проблему**
Взломщики похитили около $1.34 млн, используя давно отключенный пул ликвидности (AMM V3) децентрализованной биржи Raydium. Эти пулы были выведены из эксплуатации после закрытия проекта Serum, но их смарт-контракты остались активными и доступными для вызова в блокчейне. Хакер воспользовался отсутствием в старом коде ключевых проверок, которые есть в текущей версии, и сфабриковал поддельные LP-токены для кражи средств.
Этот инцидент высветил растущую категорию рисков в DeFi: **«зомби-контракты»** — устаревшие, забытые смарт-контракты, которые больше не поддерживаются и не используются через основной интерфейс, но по-прежнему хранят средства и остаются исполняемыми в сети. По данным публичных отчетов, с марта 2025 года произошло не менее 8 подобных атак на устаревшие контракты с общим ущербом около $10.8 млн, а с учетом старых пулов — 10 инцидентов на сумму около $22.5 млн.
Проблема игнорируется, потому что в существующих классификациях взломов такие случаи обычно относят к «уязвимостям кода», тогда как их корень — **пробелы в управлении жизненным циклом контракта**. Проекты лишь объявляют контракты неактивными в документации, но технически не завершают их работу, не выводят средства и не отключают функции. Это создает «кладбище контрактов» — легкую мишень для хакеров.
Для решения проблемы необходимо:
1. Выделить инциденты с «зомби-контрактами» в отдельную категорию рисков.
2. Внедрить стандартизированные процедуры безопасного вывода контрактов из эксплуатации, включая вывод активов, отключение функций и постоянный мониторинг.
Пока же убытки покрывают казны проектов, как это сделал Raydium. Полноценное управление безопасностью на протяжении всего жизненного цикла смарт-контракта становится не менее важным, чем его первоначальный аудит.
Foresight News06/13 06:17