Sự kiện Raydium bị đánh cắp gợi mở: Mối nguy mới trong DeFi, ẩn giấu trong các hợp đồng cũ bị lãng quên

Tác giả: Gino Matos

Biên dịch: Luffy, Foresight News

Tóm tắt:

• Hacker đã lợi dụng nhóm thanh khoản nhà tạo lập thị trường tự động V3 đã ngừng hoạt động từ lâu của Raydium để đánh cắp tài sản trị giá khoảng 1,34 triệu USD.
• Sự kiện này phơi bày một vấn đề phổ biến: Các hợp đồng cũ mà các dự án DeFi đã ngừng hoạt động vẫn chạy bình thường trên chuỗi. Những cơ sở hạ tầng nền tảng bị lãng quên này đã trở thành mục tiêu tấn công dễ bị bỏ qua.
• Báo cáo công khai cho thấy, kể từ tháng 3/2025, ngành công nghiệp đã xảy ra ít nhất 8 vụ tấn công tương tự nhắm vào hợp đồng cũ, điều này có nghĩa là vẫn còn rất nhiều mã nguồn cũ không được bảo trì có thể bị gọi từ bên ngoài.

Gần đây, một lỗ hổng trong Raydium AMM V3 đã gây ra thiệt hại 1,34 triệu USD, liên quan đến năm nhóm thanh khoản nằm ngoài hệ thống sản phẩm hiện tại của dự án. Các nhóm này không được hỗ trợ bởi Giao diện người dùng (UI) hoặc Bộ công cụ phát triển phần mềm (SDK) của Raydium và người dùng thông thường không thể truy cập, nhưng cuối cùng vẫn bị hacker khai thác.

Cuộc tấn công này nhắm vào các hợp đồng và cơ sở hạ tầng lỗi thời, bị bỏ quên trong ngành, làm lộ ra lỗ hổng lớn trong quản lý vòng đời của hợp đồng thông minh, và loại vấn đề này không chỉ xuất hiện ở một sàn giao dịch phi tập trung (DEX) trong hệ sinh thái Solana.

Phân loại rủi ro bị bỏ qua

Theo thống kê từ các báo cáo sự cố an ninh công khai, từ tháng 3/2025 đến nay, đã có ít nhất 8 vụ tấn công rõ ràng nhắm vào các hợp đồng cũ kỹ, bị loại bỏ, lỗi thời, với tổng số tiền thiệt hại ước tính khoảng 10,8 triệu USD.

Nếu tính cả các sự cố an ninh liên quan đến nhóm thanh khoản cũ, phiên bản sản phẩm phụ cũ, số lượng sự kiện liên quan lên tới 10 vụ (bao gồm vụ Raydium bị đánh cắp lần này), tổng thiệt hại ước tính khoảng 22,5 triệu USD.

Hiện tại, hầu hết các nền tảng theo dõi sự cố an ninh trong ngành phân loại loại hình tấn công chủ yếu dựa trên nguyên nhân kỹ thuật, các phân loại phổ biến bao gồm: lỗ hổng mã hợp đồng thông minh, kiểm soát quyền hạn thất bại, thao túng oracle, rò rỉ khóa riêng tư, lỗi cầu nối xuyên chuỗi, v.v.

Trong khi đó, hợp đồng zombie (tức các hợp đồng cũ kỹ mà dự án đã tuyên bố ngừng hoạt động nhưng vẫn có thể được gọi bình thường trên chuỗi) thuộc về một chiều kích rủi ro hoàn toàn khác. Đó là sự cố an ninh do quản lý vòng đời hợp đồng có vấn đề, nhưng luôn bị chìm trong các mục thống kê của các lỗ hổng thông thường, không được phân loại riêng biệt.

Lý do nhóm thanh khoản nhà tạo lập thị trường tự động V3 của Raydium bị bỏ hoang là do dự án Serum mà nó phụ thuộc đã chính thức đóng cửa, khiến bộ hợp đồng cũ này mất hoàn toàn chức năng ban đầu, và tài sản thanh khoản tương ứng cũng bị bỏ không trên chuỗi.

Hợp đồng phiên bản mới hiện đang được Raydium sử dụng sẽ kiểm tra kép hai thông tin quan trọng: một là kiểm tra cơ chế tổng số lượng để xác minh tỷ lệ tài sản, hai là xác minh địa chỉ đúc token thanh khoản và thông tin các tài khoản liên quan.

Nhưng bộ hợp đồng V3 cũ kỹ này đã bỏ qua hoàn toàn hai quy trình kiểm tra trên. Hacker đã lợi dụng lỗ hổng này, tạo ra token thanh khoản mới giả mạo và mạo danh chứng chỉ hợp lệ, vượt qua trực tiếp tất cả các quy tắc kiểm soát rủi ro.

Trong sự kiện này, tổng cộng khoảng 150.177 RAY, 5.603 SOL và 893.700 USDC đã bị đánh cắp. Những tài sản này đã được lưu trữ lâu dài trong nhóm thanh khoản cũ của nền tảng, mặc dù tách rời khỏi hoạt động kinh doanh chính, nhưng quyền gọi trên chuỗi chưa bao giờ bị đóng.

Tám vụ việc phơi bày vấn đề chung

Từ đầu năm 2025 đến nay, nhiều dự án DeFi nổi tiếng đã vấp phải vấn đề với hợp đồng cũ, tất cả các sự kiện đều thể hiện đặc điểm giống nhau: Đội ngũ dự án tuyên bố phiên bản sản phẩm hiện tại và người dùng hoạt động đều không bị ảnh hưởng, nhưng do hợp đồng cũ chưa được đóng hoàn toàn, cuối cùng kho bạc dự án vẫn phải gánh chịu toàn bộ thiệt hại.

Tại sao rủi ro từ hợp đồng cũ bị bỏ qua

Hiện tại, hầu hết các hệ thống phân loại sự cố an ninh trong ngành đều tập trung vào phương thức tấn công, đối tượng bị thao túng, điểm lỗi mã, thuộc về góc độ phân tích "bắt đầu từ lỗ hổng kỹ thuật". Điều này cũng dẫn đến việc các sự cố thuộc loại hợp đồng zombie bị che giấu. Cốt lõi của loại vấn đề này không bao giờ là sai sót trong viết mã, mà là dự án đáng lẽ nên đóng hoàn toàn hợp đồng cũ nhưng lại không thực hiện.

Một bài nghiên cứu ngành năm 2025 đã tổng hợp 50 sự cố an ninh tiền mã hóa nghiêm trọng toàn cầu từ năm 2022 đến 2025, với tổng thiệt hại hơn 1 tỷ USD. Nghiên cứu chỉ ra rằng các cuộc tấn công trên chuỗi có mức độ thiệt hại cao thường là kết quả của sự chồng chéo rủi ro theo chuỗi, đồng thời liên quan đến nhiều cấp độ như thao tác con người, vận hành bảo trì hàng ngày, mô hình kinh tế, vòng đời hợp đồng, quản trị cộng đồng, v.v.

Bài nghiên cứu đề xuất một khung phân tích nguồn gốc bốn tầng, phân loại rõ ràng lỗ hổng quản lý vòng đời hợp đồng, lỗ hổng quản trị cộng đồng thành các danh mục rủi ro độc lập với lỗ hổng viết mã. Và vấn đề hợp đồng zombie chính là lỗ hổng quản lý vòng đời điển hình. Nhưng trong hệ thống thống kê an ninh hiện có, loại sự cố này đều bị xếp chung vào "lỗ hổng mã", số liệu thiệt hại tương ứng cũng bị che giấu dưới các phân loại khác, không gây được sự chú ý đủ lớn trong ngành.

Cảnh giác "Nghĩa trang hợp đồng": Cơ sở hạ tầng cũ kỹ đã trở thành điểm nóng tấn công mới

Nếu các dự án DeFi luôn coi việc "đóng hợp đồng" là việc nhỏ có thể có hoặc không, chỉ đánh dấu "hợp đồng này đã ngừng hoạt động" trong tài liệu sản phẩm, mà không chuyển tài sản nhàn rỗi, đóng chức năng gọi, giám sát trạng thái liên tục, thì hacker sẽ tiếp tục nhắm vào "nghĩa trang hợp đồng" này.

Hồ sơ triển khai lịch sử của mỗi dự án DeFi lớn giờ đây đã trở thành mục tiêu tấn công mà hacker có thể tra cứu, khai thác. Con số thiệt hại 22,5 triệu USD được thống kê hiện tại chỉ là giá trị của các vụ việc được công khai, rủi ro thực tế còn cao hơn nhiều.

Những nhóm thanh khoản cũ có chứa tài sản nhưng tách rời quy trình sử dụng của người dùng chính, các giao diện ủy quyền lịch sử, mô-đun kết nối hợp tác thời kỳ đầu, chịu sự giám sát vận hành bảo trì thấp hơn nhiều so với hệ thống nghiệp vụ hiện hành, lại chính là mục tiêu tấn công ưu tiên của hacker.

Muốn thay đổi hiện trạng, trước tiên cần liệt kê "hợp đồng zombie" thành danh mục rủi ro độc lập, thống kê sự cố riêng biệt; thứ hai là đưa quy trình ngừng hoạt động hợp đồng vào quy trình an ninh tiêu chuẩn hóa, đặt ngang hàng với kiểm tra mã. Thực hiện tốt vận hành bảo trì toàn vòng đời mới có thể thu hẹp hiệu quả phạm vi tấn công.

Hiện tại, cách xử lý trong ngành đại đồng tiểu dị, Raydium sử dụng kho bạc dự án bồi thường 1,34 triệu USD thiệt hại, Transit Finance, Huma Finance cũng đều do đội ngũ dự án chịu thiệt hại cho người dùng.

Điều này cũng có nghĩa là, việc ngừng hoạt động hợp đồng không còn chỉ là một công việc đánh dấu tài liệu, mà đã trở thành khâu kiểm soát an ninh không thể thiếu.

Bảy tiêu chuẩn kiểm soát an ninh khi ngừng hoạt động hợp đồng

Đối với việc đóng hợp đồng cũ, ngành công nghiệp có thể thiết lập quy trình kiểm soát tiêu chuẩn hóa, các yêu cầu cụ thể và tác dụng như sau:

Chỉ đơn thuần đánh dấu "hợp đồng đã ngừng hoạt động" trong tài liệu chỉ là chuyển giao rủi ro an ninh cho kho bạc dự án, trong khi nguy cơ tấn công vẫn tồn tại. Chỉ tuyên bố ngừng hoạt động ở cấp độ sản phẩm, không đóng hoàn toàn ở cấp độ kỹ thuật, hợp đồng cũ sẽ luôn duy trì trạng thái có thể gọi được: Đội ngũ dự án bỏ bê quản lý, trong khi hacker luôn chăm chăm nhìn vào.

Giá trị của các dự án DeFi không chỉ thể hiện ở quy mô tài sản bị khóa hiện tại, mà còn lắng đọng trong mã nguồn lịch sử và kiến trúc nền tảng đã đi qua. Và những lịch sử bị lãng quên đó, giờ đây đã trở thành điểm đột phá an ninh mới.