Raydiumで134万ドル流出——廃止済みAMMプログラムを突かれた攻撃、財務省が全額補填へ

ポイント

• SolanaベースのDEX「Raydium」が134万ドル（約2億円超）規模のエクスプロイトを受けた
• 被害を受けたのはすでに稼働を停止していた5つの流動性プールで、現在アクティブなプールへの影響はなし
• 攻撃を受けたのは「廃止済みAMMプログラム」——本来なら無効化済みのはずのコードが狙われた
• 被害を受けたユーザーへの補償はRaydiumの**財務省（トレジャリー）**が全額カバーすると発表

Solana上で最大規模の分散型取引所（DEX）の一つであるRaydiumが、役割を終えた旧来のAMM（自動マーケットメーカー）プログラムを悪用され、134万ドル規模の資産流出を確認した。影響を受けたユーザーへの補償はプロトコルの財務省が担う方針が示されている。

廃止済みコードが残した「抜け穴」

今回のエクスプロイトで攻撃者が狙ったのは、現役のプールではなく、すでに引退させたはずの旧AMMプログラムだ。

DeFi（分散型金融）プロトコルはバージョンアップや設計変更を繰り返す。古いバージョンのスマートコントラクトは通常「非推奨」として利用者に移行を促し、段階的に使われなくなっていく。だが完全に消去されない限り、ブロックチェーン上にコードは残存し続ける。

今回の被害が生じた5つの流動性プールは、まさにそういった「役目を終えた」状態のものだった。アクティブに運用されていないプールに資金が残っていたこと自体、プロトコル側の管理の穴とも言える。

Raydiumは現在もSolanaエコシステムの中心的なDEXとして機能しており、現行の稼働プールへの影響は確認されていないと説明している。ただ、廃止済みプログラムの残存リスクをどこまで真剣に棚卸しできていたか、という問いは残る。

DeFiのセキュリティ問題、繰り返されるパターン

DeFiにおけるエクスプロイトは今に始まった話ではない。2022年のRaydium自身も過去に攻撃を受けており、プロトコルの管理者鍵が悪用されるなど、プラットフォームレベルの脆弱性が問題になった経緯がある。

業界全体で見ると、旧バージョンのコントラクトや「誰も使っていないと思われていた」プログラムが攻撃の入り口になるケースは多い。コードは残る。そこに玉が残っていれば狙われる。それだけのことだ。

ブロックチェーンセキュリティ分析会社によれば、2024年のDeFiにおける累計被害額は数十億ドル規模に上っており、攻撃手法も年々高度化している。今回のような「廃止コードの悪用」は、コードオーディット（セキュリティ監査）の継続的な実施がいかに重要かを改めて示している。

市場への含意

補償の財源はどこか——これが投資家にとって最も気になるポイントだろう。Raydiumは財務省（トレジャリー）による補填を明言しているが、そのトレジャリーの規模や資産構成は現時点で詳細が開示されていない。

筆者がみる限り、134万ドルはRaydiumの規模感からすれば致命的な数字ではない。プロトコルの流動性全体に占める割合はごくわずかだ。ただ、補填が適切に実行されるかどうかの追跡は必要になる。

また、今回の件が$RAY（Raydiumのネイティブトークン）の短期的な売り圧力につながるかどうかも注視ポイントだ。「攻撃があった＝即売り」という反応はDeFiトークンで頻繁に見られるが、プロトコルの基本機能への影響がないことが確認されれば、下落は限定的に収まる可能性が高い。

Solana全体への波及リスクは低い。現時点ではRaydiumのオペレーションは継続しており、ネットワーク側の問題ではなくプロトコル固有の問題として切り分けられている。

まとめ

Raydiumが134万ドルのエクスプロイトを受けた。攻撃対象は現行の稼働プールではなく、廃止済みの旧AMMプログラムに紐づく5つの非アクティブ流動性プール。被害ユーザーへの補償はプロトコルの財務省が担うと発表された。

DeFiにおける「廃止コード」の管理リスクを改めて可視化した事例であり、プロトコルのセキュリティ監査体制のあり方が問われる。現役ユーザーへの直接的な被害は現時点で報告されていないが、補償の実行状況と$RAYトークンの動向は引き続き追う必要がある。

よくある質問

Q1. AMMプログラム（自動マーケットメーカー）とは何か？

AMMとは、従来の取引所のように売り手と買い手が直接マッチングする仕組みではなく、スマートコントラクト上の流動性プールを使って自動的に取引価格を決定・執行するシステムのこと。ユーザーが資産をプールに預けることで流動性が生まれ、そこに取引手数料が発生する仕組みだ。UniswapやRaydiumといったDEXの中核技術であり、「廃止済みAMM」とはバージョンアップ等で現役を退いた旧世代のそれを指す。

Q2. 今回の補償はどのように行われるのか？

Raydiumは財務省（トレジャリー）の資金を使って、被害を受けたユーザーへの損失補填を行うと表明している。具体的な補償額の算定方法や支払いスケジュールの詳細は公式チャンネルを通じて順次開示される見込みだ。過去にDeFiプロトコルが攻撃後の補償を実施したケースでは、ガバナンス投票を経て財務省から直接支払いが行われる形が一般的で、今回もその流れに沿うとみられる。