Вчера мы еще переживали из-за утечки приватного ключа фонда Humanity Protocol, из-за которой 36 миллионов долларов в токенах $H просто испарились, а сегодня в экосистеме Solana произошел инцидент с кражей.
12 июня 2026 года главный децентрализованный обменник (DEX) экосистемы Solana Raydium подвергся атаке, убытки составили около 1,34 миллиона долларов.
К счастью, команда Raydium подтвердила, что данная атака не затронула средства пользователей, использующих последнюю версию их протокола или продуктов. Атакующий воспользовался устаревшим контрактом, который давно уже не активен.
Разбор атаки на Raydium
Согласно данным ончейн-анализа и раскрытой информации от сообщества, основной путь атаки выглядит следующим образом:
Локализуем «призрачные активы»: злоумышленник с помощью систематического сканирования среди множества контрактов, развернутых на Raydium, нашел устаревший контракт, использовавшийся много лет назад для управления определенным пулом ликвидности (LP). Этот контракт уже давно был заменен новой версией, соответствующий фронтенд также давно отключен, и почти все его забыли.
Ищем «забытый ключ»: дело в том, что, хотя этот контракт был заброшен, его высшие полномочия — т.е. «права владельца» (Owner Authority) — не были официально отменены или уничтожены. Эти полномочия по-прежнему указывают на кошелек раннего развертывателя. Злоумышленник каким-то образом (возможно, через социальную инженерию или использование исторических уязвимостей) получил контроль над этим «ключом».
Выполнить «легитимное» похищение: обладая высшими полномочиями, злоумышленник может «законно» взаимодействовать с этим старым контрактом. Они вызвали в контракте привилегированную функцию, похожую на withdraw_pnl, которая позволяет владельцу контракта извлекать накопленные сборы или определенные активы из пула. Поскольку в этом старом пуле все еще оставались ликвидные активы пользователей, злоумышленник легко вывел около 1,34 миллиона долларов.
Получив средства, злоумышленник быстро провел типичный процесс «отмывания»: украденные активы на блокчейне Solana были переведены через кроссчейн-мост на сеть Ethereum, а затем зачислены в такие смешивающие протоколы, как Tornado Cash, что полностью разорвало следы. Весь процесс для текущей основной системы Raydium оказался практически «незаметным», пока не прозвучал сигнал тревоги о движении средств на блокчейне, и команда не пришла в себя.
Кто следующий Raydium?
«Технический долг» становится главным убийцей DeFi-протоколов.
Так называемый «технический долг», простыми словами, это когда проект, стремясь к скорости выхода на рынок и быстрому итерационному процессу, использует некоторые не оптимальные временные решения, с мыслью «потом доработаем». Очистка и списание старых контрактов — это самый простой этап, о котором «потом поговорим». Многие проекты, появившиеся в результате DeFi-бума 2020-2022 годов, развернули огромное количество контрактов, чтобы успеть за трендами. Сегодня один пул ликвидности, завтра IDO-пул, послезавтра новый алгоритм... версии стремительно меняются, но те старые контракты, выполнившие свою историческую миссию, зачастую просто «забрасываются», а не «уничтожаются».
Этот подход напрямую приводит к экспоненциальному увеличению атакующей поверхности. Каждый небрежно обработанный старый контракт — это потенциальная бомба. Хакеры уже поняли это и систематически, скриптово сканируют все крупные блокчейны в поисках тех, что:
Старые проекты, развернутые рано (обычно до 2022 года).
В контракте все еще остается определенное количество активов (даже если это всего лишь остаточные средства пользователей).
Контракты, у которых права владельца или администратора никогда не были отменены.
Не будем преувеличивать: возможно, назревает волна «археологических» атак на ранние DeFi-протоколы. Особенно те, которые пережили множество крупных обновлений и имеют тяжелую историческую нагрузку, должны быть особенно насторожены. Сколько проектов помнят, когда два года назад они развернули свой первый LP-стейкинг-контракт, были ли переданы его права администратора или уничтожены, или же они давно исчезли вместе с компьютером какого-то уволенного сотрудника?
Устранение последствий: контрольный список безопасности для проектов
Создание «баланса активов контрактов»: немедленно составьте и создайте список, в котором подробно указаны все адреса смарт-контрактов, развернутых проектом с момента его создания. Отметьте использование каждого контракта, текущее состояние (активный/заброшенный/выведенный из эксплуатации), режим контроля полномочий и текущий адрес администратора или владельца.
Выполнить «снижение полномочий»: для всех подтвержденных заброшенных контрактов необходимо немедленно выполнить аннулирование полномочий.
Как безопасно «вывести из эксплуатации» контракт? В отрасли уже существуют зрелые лучшие практики, например, использование широко проверенной библиотеки стандартов OpenZeppelin.
Настройка автоматического мониторинга: установить мониторинг активности на блокчейне для всех заброшенных адресов контрактов. Теоретически, эти адреса не должны больше иметь никаких транзакций. Если происходит любое обращение, особенно связанное с полномочиями, это должно немедленно вызывать сигнал тревоги самого высокого уровня безопасности.