На примере взлома Raydium: новые угрозы DeFi скрыты в забытых старых контрактах

Foresight NewsОпубликовано 2026-06-13Обновлено 2026-06-13

Введение

**Уязвимость устаревших контрактов DeFi: взлом Raydium на $1.34 млн вскрыл системную проблему** Взломщики похитили около $1.34 млн, используя давно отключенный пул ликвидности (AMM V3) децентрализованной биржи Raydium. Эти пулы были выведены из эксплуатации после закрытия проекта Serum, но их смарт-контракты остались активными и доступными для вызова в блокчейне. Хакер воспользовался отсутствием в старом коде ключевых проверок, которые есть в текущей версии, и сфабриковал поддельные LP-токены для кражи средств. Этот инцидент высветил растущую категорию рисков в DeFi: **«зомби-контракты»** — устаревшие, забытые смарт-контракты, которые больше не поддерживаются и не используются через основной интерфейс, но по-прежнему хранят средства и остаются исполняемыми в сети. По данным публичных отчетов, с марта 2025 года произошло не менее 8 подобных атак на устаревшие контракты с общим ущербом около $10.8 млн, а с учетом старых пулов — 10 инцидентов на сумму около $22.5 млн. Проблема игнорируется, потому что в существующих классификациях взломов такие случаи обычно относят к «уязвимостям кода», тогда как их корень — **пробелы в управлении жизненным циклом контракта**. Проекты лишь объявляют контракты неактивными в документации, но технически не завершают их работу, не выводят средства и не отключают функции. Это создает «кладбище контрактов» — легкую мишень для хакеров. Для решения проблемы необходимо: 1. Выделить инциденты с «зомби-контрактами» в отдельную категорию рисков. 2. В...


Автор: Gino Matos

Перевод: Luffy, Foresight News


Краткое содержание:


  • Хакеры использовали давно неиспользуемый автоматический маркетмейкер V3 Raydium, чтобы украсть активы на сумму около 1,34 миллиона долларов.
  • Этот случай выявил распространённую проблему: старые контракты отключённых проектов DeFi продолжают работать в блокчейне, и эти забытые низкоуровневые объекты инфраструктуры становятся легко упускаемыми из виду целями для атак.
  • Согласно открытым отчётам, с марта 2025 года в отрасли произошло как минимум 8 аналогичных инцидентов с взломом устаревших контрактов, что означает, что ещё много старых, никем не обслуживаемых кодов можно вызывать извне.


Недавно уязвимость в автоматическом маркетмейкере V3 Raydium привела к потере 1,34 миллиона долларов. Инцидент связан с пятью пулами ликвидности, находящимися за пределами текущей продуктовой экосистемы проекта. Эти пулы не поддерживаются пользовательским интерфейсом или SDK Raydium, и обычные пользователи не имеют к ним доступа, но они всё же были использованы хакерами.


Эта атака нацелена на устаревшие контракты и низкоуровневую инфраструктуру, которым в отрасли не уделяется должного внимания, и выявляет серьёзный пробел в управлении полным жизненным циклом смарт-контрактов. Подобные проблемы характерны не только для этой децентрализованной биржи в экосистеме Solana.


Игнорируемая категория рисков


Согласно статистике публичных отчётов о безопасности, с марта 2025 года по настоящее время зафиксировано как минимум 8 случаев атак, явно направленных на устаревшие, вышедшие из употребления, устаревшие контракты, с совокупным ущербом около 10,8 миллиона долларов.


Если включить в статистику инциденты безопасности, вызванные старыми пулами ликвидности и устаревшими вспомогательными продуктами, количество соответствующих событий достигнет 10 (включая кражу Raydium), а общий ущерб составит около 22,5 миллиона долларов.


В настоящее время большинство платформ отслеживания инцидентов безопасности в отрасли классифицируют типы атак по техническим причинам. Распространённые категории включают: уязвимости в коде смарт-контрактов, сбои контроля доступа, манипуляции с оракулами, утечку приватных ключей, недостатки мостов и т.д.


Риски, связанные с "зомби-контрактами" (т.е. устаревшими контрактами, которые проект объявил недействительными, но которые всё ещё можно вызывать в блокчейне), относятся к совершенно другому измерению. Это инциденты безопасности, вызванные проблемами в управлении жизненным циклом контракта, но они всегда оставались погребёнными под статистикой обычных уязвимостей и не были выделены в отдельную категорию.



Причиной вывода из эксплуатации пулов автоматического маркетмейкера V3 Raydium стало окончательное прекращение работы проекта Serum, от которого зависела старая система. Это привело к полной потере функциональности этих старых контрактов, а соответствующие активы ликвидности оставались простаивать в блокчейне.


Новые контракты, используемые Raydium в настоящее время, выполняют двойную проверку двух ключевых элементов: во-первых, механизм проверки общего объёма для сверки пропорций активов, а во-вторых, проверку адресов чеканки токенов ликвидности и информации о связанных учётных записях.


Но этот устаревший контракт V3 полностью пропускает эти два процесса проверки. Воспользовавшись этой уязвимостью, хакеры сфальсифицировали новые токены ликвидности и выдали их за законные активы, обойдя все правила контроля рисков.


В данном инциденте было украдено в общей сложности около 150 177 RAY, 5603 SOL и 893 700 USDC. Эти активы долгое время хранились в старых пулах платформы и, хотя были оторваны от основного бизнеса, права на их вызов в блокчейне никогда не отключались.


Восемь случаев, выявивших общие проблемы


С 2025 года несколько известных проектов DeFi пострадали от атак на старые контракты. Все случаи демонстрируют одинаковые характеристики: команды проектов заявляют, что текущие версии продуктов и активные пользователи не затронуты, но поскольку старые контракты не были полностью отключены, в конечном итоге весь ущерб покрывается из казны проекта.



Почему риски старых контрактов игнорируются


В настоящее время подавляющее большинство систем классификации инцидентов безопасности в отрасли сосредоточены на методах атак, объектах манипуляций, точках сбоя кода — это аналитическая перспектива «исходя из технических уязвимостей». Это также приводит к тому, что инциденты, связанные с зомби-контрактами, остаются скрытыми. Суть этой проблемы никогда не заключается в ошибках написания кода, а в том, что проект должен был полностью отключить старые контракты, но не сделал этого.


В отраслевом исследовательском документе 2025 года проанализировано 50 крупных инцидентов безопасности в криптосфере по всему миру в период с 2022 по 2025 год, совокупные потери от которых превысили 1 миллиард долларов. В исследовании отмечается, что высокоопасные атаки в блокчейне часто являются результатом наложения цепочек рисков, затрагивая одновременно несколько уровней: человеческие операции, повседневное обслуживание, экономические модели, жизненный цикл контрактов, управление сообществом и другие.


В документе предлагается структура анализа первопричин, состоящая из четырёх уровней, которая явно выделяет уязвимости управления жизненным циклом контрактов и уязвимости управления сообществом в отдельные категории рисков, отличные от уязвимостей написания кода. Проблема зомби-контрактов является типичной уязвимостью управления жизненным циклом. Однако в существующих системах статистики безопасности такие инциденты обычно относят к «уязвимостям кода», а соответствующие данные о потерях скрываются под другими категориями, не привлекая достаточного внимания отрасли.


Остерегайтесь «кладбища контрактов»: устаревшая инфраструктура стала новой горячей точкой для атак


Если проекты DeFi продолжают относиться к «отключению контрактов» как к чему-то незначительному и необязательному, просто отмечая в документации, что «контракт выведен из эксплуатации», но не выводя неиспользуемые активы, не отключая функции вызова и не осуществляя постоянный мониторинг состояния, то хакеры будут продолжать охотиться на этом «кладбище контрактов».


История развёртываний каждого крупного проекта DeFi теперь стала целью, которую хакеры могут искать и использовать. Текущая статистика потерь в 22,5 миллиона долларов — это лишь цифры по публично раскрытым случаям, реальные риски гораздо выше.


Старые пулы ликвидности, хранящие активы, но исключённые из основных пользовательских процессов, исторические авторизованные интерфейсы, ранние модули интеграции с партнёрами — за их эксплуатацией и обслуживанием следят гораздо менее пристально, чем за текущими бизнес-системами, что делает их приоритетными целями для хакеров.


Чтобы изменить ситуацию, прежде всего необходимо выделить «зомби-контракты» в отдельную категорию рисков и вести по ним отдельную статистику инцидентов. Во-вторых, необходимо включить процесс вывода контрактов из эксплуатации в стандартизированные процедуры безопасности, поставив его на один уровень с аудитом кода. Только надлежащее управление полным жизненным циклом может эффективно сузить область для атак.


В настоящее время подход в отрасли в целом одинаков: Raydium использовал средства казны проекта для возмещения ущерба в 1,34 миллиона долларов; Transit Finance, Huma Finance также покрыли убытки пользователей за счёт проектов.


Это также означает, что вывод контракта из эксплуатации больше не является просто задачей по обновлению документации, а стал необходимым элементом контроля безопасности.


Семь стандартов контроля безопасности для вывода контрактов из эксплуатации


Для отключения старых контрактов в отрасли может быть установлен стандартизированный процесс контроля. Конкретные требования и их назначение следующие:



Просто отметить в документации, что «контракт выведен из эксплуатации», — это лишь переложить риски безопасности на казну проекта, в то время как угроза атак остаётся. Объявление о выводе из эксплуатации только на продуктовом уровне без полного технического отключения означает, что старый контракт останется доступным для вызова: команда проекта пренебрегает его обслуживанием, а хакеры постоянно следят за ним.


Ценность проектов DeFi заключается не только в текущем объёме заблокированных активов, но и в историческом коде и низкоуровневой архитектуре, накопленных за время их существования. И это забытое прошлое теперь стало новой точкой входа для атак.

Связанные с этим вопросы

QЧто стало причиной уязвимости, использованной хакером в случае с Raydium AMM V3?

AХакер использовал устаревший и давно неиспользуемый пул ликвидности Raydium AMM V3. Этот пул не имел двух ключевых проверок, присутствующих в новой версии контракта: проверки доли активов (total supply check) и верификации адресов минта LP-токенов. Благодаря этому злоумышленник смог создать поддельные LP-токены и обналичить активы.

QКакова основная проблема, которую высветила атака на Raydium, и как она классифицируется в статье?

AАтака высветила проблему «зомби-контрактов» — устаревших, выведенных из эксплуатации, но технически все еще активных и вызываемых смарт-контрактов, в которых остаются активы. Эта проблема относится не к ошибкам в коде, а к сбоям в управлении жизненным циклом контрактов.

QКаковы примерные масштабы ущерба от атак на старые контракты в 2025 году, согласно статье?

AС марта 2025 года было зафиксировано не менее 8 атак, нацеленных именно на устаревшие, заброшенные контракты, с общим ущербом около 10,8 миллионов долларов. Если включить атаки на старые пулы ликвидности и устаревшие вспомогательные продукты (включая инцидент с Raydium), то количество случаев достигает 10, а общий ущерб оценивается примерно в 22,5 миллиона долларов.

QПочему риски, связанные со «зомби-контрактами», часто остаются незамеченными в индустрии?

AПотому что большинство платформ для отслеживания инцидентов безопасности классифицируют атаки по техническим причинам, таким как уязвимости в коде, сбои контроля доступа, манипуляции с оракулами и т.д. Проблемы управления жизненным циклом контрактов, к которым относятся «зомби-контракты», обычно «прячутся» в этих категориях и не выделяются как отдельный, самостоятельный класс рисков.

QКакие основные меры предлагаются в статье для безопасного вывода контрактов из эксплуатации?

AВ статье предлагается стандартизированный процесс вывода контрактов из эксплуатации, который должен включать следующие ключевые меры: 1) Вывод всех активов из пулов. 2) Отключение функций минтинга / сжигания токенов. 3) Отзыв всех административных прав доступа. 4) Мониторинг и реагирование на необычную активность. 5) Четкое информирование сообщества о статусе. 6) Обновление документации и интерфейсов. 7) Периодический аудит архивированных контрактов.

Похожее

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

Год назад президент Дональд Трамп подписал закон GENIUS Act, но регуляторы до сих пор не завершили его реализацию. Ключевые агентства, такие как OCC, ФРС, FDIC и Министерство финансов, продолжают разрабатывать важные правила, касающиеся резервов эмитентов, требований к капиталу, ликвидности, хранения активов и управления рисками. Хотя срок окончательного утверждения норм истек 18 июля, консультации с общественностью по некоторым предложениям всё ещё продолжаются. Несмотря на нормативную неопределенность, отрасль стейблкоинов выросла до более чем 310 миллиардов долларов. Однако таким эмитентам, как Circle и Paxos, всё ещё приходится работать в условиях незавершенных стандартов ликвидности и хранения, что усложняет планирование и операционную устойчивость. Регуляторы планируют начать применять закон с 18 января 2027 года. Тем временем закон уже стимулирует институциональное участие: BlackRock, JPMorgan, Visa и другие крупные игроки запускают продукты, связанные со стейблкоинами. Законодатели, такие как сенатор Синтия Ламмис, призывают к дальнейшим шагам, включая принятие CLARITY Act, для укрепления лидерства США в сфере цифровых активов. Завершение оставшихся правил определит скорость широкого внедрения регулируемых стейблкоинов в финансовую систему страны.

ambcrypto6 ч. назад

Год действия закона GENIUS Act: Прогресс, пробелы и дальнейшие шаги

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

Во второй половине 2026 года ликвидность становится ключевым фактором на рынке криптовалют. В то время как общая капитализация стейблкоинов сократилась, в экосистеме Solana наблюдается обратная тенденция: за год было выпущено (отчеканено) более 70 миллиардов долларов в USDC. Это увеличило ликвидность в сети, а количество ежемесячных активных пользователей Solana превысило 100 миллионов. Однако значительный приток стейблкоинов пока не привёл к устойчивому восстановлению. Цена SOL упала более чем на 35% в 2026 году, отставая от снижения Bitcoin. Также наблюдается спад в ключевых показателях активности сети: количество транзакций и торговый объём снизились по сравнению с первым кварталом. Это указывает на то, что растущая ликвидность, возможно, питает в основном спекулятивную активность, а не фундаментальный спрос. В итоге, несмотря на приток USDC, слабость ценового действия SOL и ончейн-активности сохраняется, что может создать риски для её восстановления во второй половине года.

ambcrypto6 ч. назад

Всплеск на 70 миллиардов USDC в Solana: Бычий катализатор или «скрытый» риск для SOL?

ambcrypto6 ч. назад

Стажер, 120 тысяч юаней в месяц

"Возможности трудоустройства ошеломляют". На этой неделе в соцсетях стало вирусным сообщение: студент класса Яо (элитная программа Университета Цинхуа) показал предложение о стажировке с ежедневной зарплатой в 5500 юаней до вычета налогов. Это составляет более 120 000 юаней в месяц. Хотя такая зарплата предназначена лишь для небольшого числа студентов, она демонстрирует ожесточенную конкуренцию за таланты в сфере ИИ. Компания DeepSeek, привлекшая первый раунд финансирования в 50 млрд юаней, активно расширяет штат и предлагает высокие зарплаты стажерам, особенно выпускникам элитных программ, таким как класс Яо. Другие технологические гиганты, включая Huawei, Tencent, ByteDance и Moon Dark Side (создатель Kimi), также усиливают "войну за таланты", предлагая щедрые пакеты компенсаций, включая высокие зарплаты, опционы на акции и участие в ключевых проектах, даже студентам и школьникам. На рынке труда ИИ наступил самый "безумный" год: годовые пакеты для выдающихся выпускников в ведущих компаниях могут достигать миллионов юаней, удваиваясь из года в год. Все больше молодых специалистов, часто в возрасте 20-30 лет и выпускников престижных вузов, занимают ключевые позиции, определяя будущее ИИ. Конкуренция в области ИИ — это не только гонка моделей и вычислительных мощностей, но и битва за плотность талантов, где молодое поколение начинает менять правила игры.

marsbit6 ч. назад

Стажер, 120 тысяч юаней в месяц

marsbit6 ч. назад

Торговля

Спот
活动图片