Tin tức 
Thông tin Coin 
Về chúng tôi 
Theo CoinDesk đưa tin ngày 10 (giờ địa phương), sàn giao dịch phi tập trung **“Raydium”** trên hệ sinh thái **“Solana(SOL)”** đã bị khai thác lỗ hổng trong *“mã nguồn cũ (legacy code)”*, dẫn tới thiệt hại khoảng 1,34 triệu USD (khoảng 20,5 tỷ đồng). Điều đáng chú ý là vụ việc xảy ra trên các bể thanh khoản đã ngừng sử dụng từ lâu, nên hoạt động dịch vụ hiện tại của Raydium không bị ảnh hưởng trực tiếp.
Trong thông báo cùng ngày, đội ngũ **“Raydium”** cho biết vụ tấn công xuất phát từ chương trình AMM V3 cũ, vốn đã không còn được hỗ trợ giao diện cho người dùng phổ thông. Kẻ tấn công với địa chỉ bắt đầu bằng “Bq33QVk” đã chiếm đoạt khoảng 893.700 **“USDC”**, 5.603 **“Solana(SOL)”** và khoảng 150.177 **“Raydium(RAY)”**, tương đương tổng giá trị khoảng 1,34 triệu USD.
Lỗ hổng cốt lõi nằm ở việc thiếu *“cơ chế kiểm tra LP token”*. Trong mô hình *“AMM (tự động tạo lập thị trường)”* thông thường, hợp đồng thông minh sẽ xác minh LP token – đại diện cho phần sở hữu thanh khoản – trước khi cho phép rút tài sản. Tuy nhiên, trong phiên bản AMM V3 cũ của **“Raydium”**, bước xác minh này không được triển khai. Kẻ tấn công đã tạo ra một token SPL giả, rồi lợi dụng hợp đồng để “tin” rằng chỉ với 1 token, hắn sở hữu 100% quyền lợi trong bể thanh khoản.
Nhờ đó, hacker rút được toàn bộ tài sản từ 5 bể thanh khoản liên quan, thu gom khoảng 150.177 **“RAY”**, 5.603 **“SOL”** và 893.700 **“USDC”**. Tất cả đều là các bể đã không còn hiển thị trên giao diện người dùng nhưng hợp đồng vẫn tồn tại *“on-chain”* và còn nắm giữ tài sản.
Sau khi rút tiền, hacker nhanh chóng chuyển số tài sản này từ **“Solana(SOL)”** sang mạng **“Ethereum(ETH)”** thông qua cầu nối, rồi lần lượt đưa qua các sàn trung gian như KuCoin, FixedFloat trước khi bơm vào giao thức bảo mật **“Tornado Cash”** để che giấu nguồn gốc. Các nhà phân tích on-chain cho biết kẻ tấn công không hề tìm cách “xả” tài sản ngay trong hệ Solana mà lập tức thực hiện quy trình *“cross-chain rửa tiền”*, khiến việc truy vết và phong tỏa trở nên khó khăn. Đến thời điểm hiện tại, chưa ghi nhận trường hợp tài sản bị đóng băng hay tài khoản sàn giao dịch nào bị chặn liên quan trực tiếp tới vụ việc.
Phía **“Raydium”** nhấn mạnh đây là lỗi phát sinh từ *“logic của hợp đồng thông minh cũ”*, không phải do rò rỉ khóa riêng hay lạm dụng quyền quản trị. Đội ngũ khẳng định lỗ hổng không lan sang các chương trình đang vận hành, và các bể thanh khoản hiện tại vẫn an toàn. Các bể AMM V3 liên quan vốn đã được loại khỏi sản phẩm từ trước, người dùng không thể truy cập thông qua giao diện chính thức. Thực tế, không có người dùng hay bể thanh khoản đang hoạt động nào bị mất tiền trong đợt tấn công này.
So với sự cố năm 2022 khiến **“Raydium”** thiệt hại khoảng 4,4 triệu USD do vấn đề khóa riêng, lần này bản chất rủi ro khác biệt rõ rệt. Nếu như trước đây là bài học về bảo mật vận hành và quản lý khóa, thì vụ việc mới lại chỉ ra nguy cơ từ *“đoạn mã cũ vẫn còn nắm giữ tài sản on-chain”* dù đã bị loại khỏi giao diện sản phẩm.
Để trấn an cộng đồng, **“Raydium”** cho biết sẽ sử dụng quỹ tài chính giao thức để **bồi thường toàn bộ** thiệt hại cho các bể bị ảnh hưởng, đồng thời tiến hành kiểm tra bảo mật tổng thể với toàn bộ *“mã nguồn kế thừa (legacy code)”* và lên kế hoạch xóa bỏ hoàn toàn các chương trình cũ tương tự. Lịch trình chi tiết về việc hoàn trả sẽ được thông báo sau.
Thị trường phản ứng khá bình tĩnh trước thông tin này. Giá **“Raydium(RAY)”** trong 24 giờ sau sự cố thậm chí tăng nhẹ khoảng 2%, giao dịch quanh mức 0,578 USD (khoảng 885 đồng) vào thời điểm bài viết, dù tính theo 7 ngày gần nhất thì vẫn giảm khoảng 7% và thấp hơn hơn 96% so với đỉnh lịch sử.
bình luận: Vụ việc tại **“Raydium”** cho thấy một rủi ro quen thuộc nhưng thường bị xem nhẹ trong **“DeFi”**: *“mã nguồn ngừng sử dụng vẫn là rủi ro nếu còn giữ tài sản”*. Trong bối cảnh các giao thức ngày càng phức tạp, nhiều phiên bản hợp đồng cùng tồn tại trên chuỗi, việc rà soát, khóa hoặc di dời toàn bộ tài sản khỏi hợp đồng cũ trở nên bắt buộc, không chỉ là “công việc dọn dẹp kỹ thuật”. Với những hệ sinh thái phát triển nhanh như **“Solana(SOL)”**, bài học từ **“Raydium”** có thể sẽ thúc đẩy xu hướng kiểm toán định kỳ toàn bộ *“legacy code”*, thay vì chỉ tập trung vào hợp đồng đang được người dùng tương tác mỗi ngày.
Bình luận 0