Автор: Gino Matos
Перевод: Luffy, Foresight News
Краткое содержание:
- Хакеры использовали давно неиспользуемый автоматический маркетмейкер V3 Raydium, чтобы украсть активы на сумму около 1,34 миллиона долларов.
- Этот случай выявил распространённую проблему: старые контракты отключённых проектов DeFi продолжают работать в блокчейне, и эти забытые низкоуровневые объекты инфраструктуры становятся легко упускаемыми из виду целями для атак.
- Согласно открытым отчётам, с марта 2025 года в отрасли произошло как минимум 8 аналогичных инцидентов с взломом устаревших контрактов, что означает, что ещё много старых, никем не обслуживаемых кодов можно вызывать извне.
Недавно уязвимость в автоматическом маркетмейкере V3 Raydium привела к потере 1,34 миллиона долларов. Инцидент связан с пятью пулами ликвидности, находящимися за пределами текущей продуктовой экосистемы проекта. Эти пулы не поддерживаются пользовательским интерфейсом или SDK Raydium, и обычные пользователи не имеют к ним доступа, но они всё же были использованы хакерами.
Эта атака нацелена на устаревшие контракты и низкоуровневую инфраструктуру, которым в отрасли не уделяется должного внимания, и выявляет серьёзный пробел в управлении полным жизненным циклом смарт-контрактов. Подобные проблемы характерны не только для этой децентрализованной биржи в экосистеме Solana.
Игнорируемая категория рисков
Согласно статистике публичных отчётов о безопасности, с марта 2025 года по настоящее время зафиксировано как минимум 8 случаев атак, явно направленных на устаревшие, вышедшие из употребления, устаревшие контракты, с совокупным ущербом около 10,8 миллиона долларов.
Если включить в статистику инциденты безопасности, вызванные старыми пулами ликвидности и устаревшими вспомогательными продуктами, количество соответствующих событий достигнет 10 (включая кражу Raydium), а общий ущерб составит около 22,5 миллиона долларов.
В настоящее время большинство платформ отслеживания инцидентов безопасности в отрасли классифицируют типы атак по техническим причинам. Распространённые категории включают: уязвимости в коде смарт-контрактов, сбои контроля доступа, манипуляции с оракулами, утечку приватных ключей, недостатки мостов и т.д.
Риски, связанные с "зомби-контрактами" (т.е. устаревшими контрактами, которые проект объявил недействительными, но которые всё ещё можно вызывать в блокчейне), относятся к совершенно другому измерению. Это инциденты безопасности, вызванные проблемами в управлении жизненным циклом контракта, но они всегда оставались погребёнными под статистикой обычных уязвимостей и не были выделены в отдельную категорию.
Причиной вывода из эксплуатации пулов автоматического маркетмейкера V3 Raydium стало окончательное прекращение работы проекта Serum, от которого зависела старая система. Это привело к полной потере функциональности этих старых контрактов, а соответствующие активы ликвидности оставались простаивать в блокчейне.
Новые контракты, используемые Raydium в настоящее время, выполняют двойную проверку двух ключевых элементов: во-первых, механизм проверки общего объёма для сверки пропорций активов, а во-вторых, проверку адресов чеканки токенов ликвидности и информации о связанных учётных записях.
Но этот устаревший контракт V3 полностью пропускает эти два процесса проверки. Воспользовавшись этой уязвимостью, хакеры сфальсифицировали новые токены ликвидности и выдали их за законные активы, обойдя все правила контроля рисков.
В данном инциденте было украдено в общей сложности около 150 177 RAY, 5603 SOL и 893 700 USDC. Эти активы долгое время хранились в старых пулах платформы и, хотя были оторваны от основного бизнеса, права на их вызов в блокчейне никогда не отключались.
Восемь случаев, выявивших общие проблемы
С 2025 года несколько известных проектов DeFi пострадали от атак на старые контракты. Все случаи демонстрируют одинаковые характеристики: команды проектов заявляют, что текущие версии продуктов и активные пользователи не затронуты, но поскольку старые контракты не были полностью отключены, в конечном итоге весь ущерб покрывается из казны проекта.
Почему риски старых контрактов игнорируются
В настоящее время подавляющее большинство систем классификации инцидентов безопасности в отрасли сосредоточены на методах атак, объектах манипуляций, точках сбоя кода — это аналитическая перспектива «исходя из технических уязвимостей». Это также приводит к тому, что инциденты, связанные с зомби-контрактами, остаются скрытыми. Суть этой проблемы никогда не заключается в ошибках написания кода, а в том, что проект должен был полностью отключить старые контракты, но не сделал этого.
В отраслевом исследовательском документе 2025 года проанализировано 50 крупных инцидентов безопасности в криптосфере по всему миру в период с 2022 по 2025 год, совокупные потери от которых превысили 1 миллиард долларов. В исследовании отмечается, что высокоопасные атаки в блокчейне часто являются результатом наложения цепочек рисков, затрагивая одновременно несколько уровней: человеческие операции, повседневное обслуживание, экономические модели, жизненный цикл контрактов, управление сообществом и другие.
В документе предлагается структура анализа первопричин, состоящая из четырёх уровней, которая явно выделяет уязвимости управления жизненным циклом контрактов и уязвимости управления сообществом в отдельные категории рисков, отличные от уязвимостей написания кода. Проблема зомби-контрактов является типичной уязвимостью управления жизненным циклом. Однако в существующих системах статистики безопасности такие инциденты обычно относят к «уязвимостям кода», а соответствующие данные о потерях скрываются под другими категориями, не привлекая достаточного внимания отрасли.
Остерегайтесь «кладбища контрактов»: устаревшая инфраструктура стала новой горячей точкой для атак
Если проекты DeFi продолжают относиться к «отключению контрактов» как к чему-то незначительному и необязательному, просто отмечая в документации, что «контракт выведен из эксплуатации», но не выводя неиспользуемые активы, не отключая функции вызова и не осуществляя постоянный мониторинг состояния, то хакеры будут продолжать охотиться на этом «кладбище контрактов».
История развёртываний каждого крупного проекта DeFi теперь стала целью, которую хакеры могут искать и использовать. Текущая статистика потерь в 22,5 миллиона долларов — это лишь цифры по публично раскрытым случаям, реальные риски гораздо выше.
Старые пулы ликвидности, хранящие активы, но исключённые из основных пользовательских процессов, исторические авторизованные интерфейсы, ранние модули интеграции с партнёрами — за их эксплуатацией и обслуживанием следят гораздо менее пристально, чем за текущими бизнес-системами, что делает их приоритетными целями для хакеров.
Чтобы изменить ситуацию, прежде всего необходимо выделить «зомби-контракты» в отдельную категорию рисков и вести по ним отдельную статистику инцидентов. Во-вторых, необходимо включить процесс вывода контрактов из эксплуатации в стандартизированные процедуры безопасности, поставив его на один уровень с аудитом кода. Только надлежащее управление полным жизненным циклом может эффективно сузить область для атак.
В настоящее время подход в отрасли в целом одинаков: Raydium использовал средства казны проекта для возмещения ущерба в 1,34 миллиона долларов; Transit Finance, Huma Finance также покрыли убытки пользователей за счёт проектов.
Это также означает, что вывод контракта из эксплуатации больше не является просто задачей по обновлению документации, а стал необходимым элементом контроля безопасности.
Семь стандартов контроля безопасности для вывода контрактов из эксплуатации
Для отключения старых контрактов в отрасли может быть установлен стандартизированный процесс контроля. Конкретные требования и их назначение следующие:
Просто отметить в документации, что «контракт выведен из эксплуатации», — это лишь переложить риски безопасности на казну проекта, в то время как угроза атак остаётся. Объявление о выводе из эксплуатации только на продуктовом уровне без полного технического отключения означает, что старый контракт останется доступным для вызова: команда проекта пренебрегает его обслуживанием, а хакеры постоянно следят за ним.
Ценность проектов DeFi заключается не только в текущем объёме заблокированных активов, но и в историческом коде и низкоуровневой архитектуре, накопленных за время их существования. И это забытое прошлое теперь стало новой точкой входа для атак.
