Raydium 被盗事件启示:DeFi 新隐患,藏在被人遗忘的旧合约中
Raydium 因旧版 V3 AMM 资金池漏洞被盗约 134 万美元,暴露了 DeFi 领域一个普遍但被忽视的风险:项目已停用的老旧合约(常被称为“僵尸合约”)在链上仍可调用,且因缺乏维护而成为攻击目标。
自 2025 年 3 月以来,公开报告显示至少已发生 8 起同类攻击,累计损失约 1080 万美元。若算上相关旧资金池事故,总损失约达 2250 万美元。这类问题的根源并非代码漏洞,而是合约生命周期管理缺失——项目方往往仅在产品层面宣布下线,却未在技术层面彻底关闭调用权限、转移闲置资产或持续监控。
当前的安全事故分类多聚焦技术漏洞,导致此类管理问题被掩盖。研究表明,需将“僵尸合约”列为独立风险类别,并将合约下线流程标准化,纳入与代码审计同等重要的安全管控环节。建议的标准化流程包括:转移所有资产、关闭关键功能、撤销权限、更新前端、持续监控、文档化归档及社区公告。
若仅文档标注“已停用”而不实质关停,风险将持续存在,最终损失往往由项目金库承担。DeFi 项目的安全不仅关乎当下活跃合约,也系于其历史遗留的“合约坟场”,必须实施全生命周期管理以有效防御。
Foresight News昨天 06:15
