合约下线不只是一项文档标注工作，而是必不可少的安全管控环节。

撰文：Gino Matos

编译：Luffy，Foresight News

TL;DR:

• 黑客利用 Raydium 早已停用的 V3 自动做市商资金池盗走了约 134 万美元资产。
• 这起事件暴露一个普遍问题：DeFi 项目下线的旧合约仍在链上正常运行，这些被遗忘的底层设施，已然成为易被忽视的攻击目标。
• 公开报告显示，自 2025 年 3 月以来，业内已发生至少 8 起同类老旧合约被盗事件，这意味着还有大量无人打理的旧代码仍可被外部调用。

近日，Raydium AMM V3 的一个漏洞造成了 134 万美元损失，该项目与当前产品体系之外的五个资金池相关，这些资金池不受 Raydium 的 UI 或 SDK 支持，并且普通用户无法访问，但最终还是被黑客利用。

此次攻击瞄准了行业内无人重视的老旧合约与底层设施，暴露出智能合约全生命周期管理的重大漏洞，而这类问题并非只出现在这一家 Solana 生态的去中心化交易所身上。

被忽略的风险类别

据公开的安全事故报告统计，从 2025 年 3 月至今，明确因废弃、淘汰、老旧合约遭到攻击的案例已有至少 8 起，累计损失金额约 1080 万美元。

如果把老旧资金池、旧版配套产品引发的安全事故一并纳入统计，相关事件数量达到 10 起（含本次 Raydium 被盗），总损失规模约为 2250 万美元。

目前业内的安全事故追踪平台，大多按照技术成因划分攻击类型，常见分类包括：智能合约代码漏洞、权限管控失效、预言机篡改、私钥泄露、跨链桥缺陷等。

而僵尸合约（即项目宣布停用、但链上仍可正常调用的老旧合约），属于完全不同的风险维度，它是合约生命周期管理出现问题导致的安全事故，却始终被淹没在各类常规漏洞的统计条目里，没有被单独归类。

Raydium 的 V3 自动做市商资金池之所以被废弃，根源是其依赖的 Serum 项目正式关停，导致这套旧合约彻底失去原有功能，对应的流动性资产也一直闲置在链上。

Raydium 目前在用的新版合约，会双重校验两大关键信息：一是通过总量校验机制核对资产占比，二是核验流动性代币的铸造地址以及各类关联账户信息。

但这套老旧的 V3 合约完全省略了这两道校验流程。黑客利用这一漏洞，伪造出新的流动性代币并冒充合法凭证，直接绕过所有风控规则。

本次事件中，共计约 150177 枚 RAY、5603 枚 SOL 以及 893700 枚 USDC 被盗，这些资产长期存放在平台旧资金池中，虽脱离主流业务，但链上调用权限从未关闭。

八起案例暴露共性问题

从 2025 年至今，多家知名 DeFi 项目在旧合约上栽过跟头， 所有事件都呈现出相同特征：项目方宣称当前版本产品、活跃用户均不受影响，但由于旧合约未彻底关停，最终仍由项目金库承担全部损失。

为什么旧合约风险会被忽视

目前业内绝大多数安全事故分类体系，都聚焦于攻击手段、篡改对象、代码故障点，属于 「从技术漏洞入手」 的分析视角。这也导致僵尸合约类事故被掩盖，这类问题的核心，从来不是代码编写失误，而是项目本应彻底关停旧合约，却并未执行。

2025 年一份行业研究论文，梳理了 2022 至 2025 年间全球 50 起重大加密安全事故，累计损失超 10 亿美元。研究指出，高危害的链上攻击往往是链式风险叠加的结果，会同时涉及人为操作、日常运维、经济模型、合约生命周期、社区治理等多个层面。

论文提出了一套四层根源分析框架，明确将合约生命周期管理漏洞、社区治理漏洞，与代码编写漏洞划分为独立的风险类别。而僵尸合约问题，正是典型的生命周期管理漏洞。但在现有的安全统计体系中，这类事故一概被归入 「代码漏洞」，对应的损失数据也被掩盖在其他分类之下，没能引起行业足够重视。

警惕 「合约坟场」：老旧设施已成新攻击热点

如果 DeFi 项目始终把 「合约关停」 当作一件可有可无的小事，只在产品文档中标注 「该合约已停用」，却不转出闲置资产、关闭调用功能、持续监控状态，那么黑客就会持续盯上这片 「合约坟场」。

每一个大型 DeFi 项目的历史部署记录，如今都成了黑客可检索、可利用的攻击目标。目前统计的 2250 万美元损失，仅仅是公开曝光案例的数值，真实风险远高于此。

那些存有资产、但脱离主流用户使用流程的老旧资金池、历史授权接口、早期合作对接模块，受到的运维监控力度远低于现行业务系统，恰恰是黑客首选的攻击目标。

想要改变现状，首先要把 「僵尸合约」 列为独立风险类别、单独统计事故；其次要将合约下线流程纳入标准化安全流程，和代码审计放在同等位置。做好全生命周期运维，才能有效缩小攻击范围。

目前行业内的处理方式大同小异，Raydium 动用项目金库赔付了 134 万美元损失，Transit Finance、Huma Finance 也均由项目方承担用户损失。

这也意味着，合约下线不再只是一项文档标注工作，而是必不可少的安全管控环节。

合约下线的七大安全管控标准

针对旧合约关停，行业可建立标准化管控流程，具体要求及作用如下：

单纯在文档中标注 「合约已停用」，只是把安全风险转嫁给了项目金库，攻击隐患却依旧存在。只在产品层面宣布下线、不在技术层面彻底关停，旧合约就会一直保持可调用状态：项目团队疏于看管，黑客却时刻虎视眈眈。

DeFi 项目的价值，不只体现在当下的资产锁仓规模，也沉淀在一路走来的历史代码与底层架构中。而这些被遗忘的历史，如今已然成为新的安全突破口。