Raydiumi detsentraliseeritud börsi (DEX) meeskond on teatanud üksikasjad selle kohta, kuidas 16. detsembri häkkimine aset leidis, ja pakkunud ettepanekut ohvritele kahju hüvitamiseks.
Meeskonna ametliku foorumipostituse kohaselt suutis häkker teenida krüptorüüstega üle 2 miljoni dollari ära kasutades haavatavus DEX-i nutikates lepingutes, mis võimaldas administraatoritel terveid likviidsuskogumeid tagasi võtta, hoolimata sellest, et olemasolevad kaitsed takistasid sellist käitumist.
Meeskond kasutab oma lukustamata žetoone, et hüvitada ohvritele, kes kaotasid Raydiumi märgid, tuntud ka kui RAY. Kuid arendajal ei ole ohvrite hüvitamiseks stabiilset münti ja muid mitte-RAY-märke, mistõttu palub ta RAY omanikelt hääletada, et kasutada detsentraliseeritud autonoomse organisatsiooni (DAO) riigikassat puuduvate žetoonide ostmiseks, et maksta tagasi neile, keda kahju mõjutab. ära kasutada.
1/ Värskendus rahaliste vahendite heastamise kohta hiljutise kasutamise eest
Esiteks tänan kõiki senise kannatlikkuse eest
Esialgne ettepanek edasise tegevuse kohta on aruteluks postitatud. Raydium julgustab ja hindab ettepaneku kohta tagasisidet.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) Detsember 21, 2022
Eraldi surmajärgse aruande kohaselt oli ründaja esimene samm ärakasutamisel omandama administraatori basseini privaatvõtme juhtimine. Meeskond ei tea, kuidas see võti saadi, kuid kahtlustab, et võtit hoidnud virtuaalmasin nakatus trooja programmiga.
Kui ründajal oli võti käes, kutsusid nad välja funktsiooni tehingutasude eemaldamiseks, mis tavaliselt lähevad DAO riigikassasse, et kasutada neid RAY tagasiostmiseks. Raydiumis ei lähe tehingutasud vahetustehingu hetkel automaatselt riigikassasse. Selle asemel jäävad need likviidsuse pakkuja kogumisse, kuni administraator need välja võtab. Nutikas leping aga jälgib parameetrite kaudu DAO-le võlgnetavate tasude suurust. See oleks pidanud takistama ründajal välja võtta rohkem kui 0.03% kogu kauplemismahust, mis oli toimunud igas kogumis alates viimasest väljavõtmisest.
Sellegipoolest sai ründaja lepinguvea tõttu parameetreid käsitsi muuta, mistõttu jäi mulje, et kogu likviidsuskogum oli kogutud tehingutasud. See võimaldas ründajal kogu raha välja võtta. Pärast raha väljavõtmist suutis ründaja need käsitsi teiste žetoonide vastu vahetada ja raha kanda teistesse rahakottidesse, mis olid ründaja kontrolli all.
Seotud: Arendaja sõnul keelduvad projektid valgekübaratele häkkeritele preemiaid maksmast
Vastuseks ärakasutamisele on meeskond uuendanud rakenduse nutikaid lepinguid, et eemaldada administraatori kontroll parameetrite üle, mida ründaja ära kasutas.
21. detsembri foorumipostituses pakkusid arendajad välja plaani rünnaku ohvritele kahju hüvitamiseks. Meeskond kasutab oma lukustamata RAY žetoone, et hüvitada RAY omanikele, kes kaotasid oma märgid rünnaku tõttu. Ta on palunud foorumi arutelu selle üle, kuidas rakendada hüvitiste plaani, kasutades DAO riigikassat, et osta kadunud mitte-RAY-märke. Meeskond palub probleemi lahendamiseks kolmepäevast arutelu.
2 miljoni dollari suurune Raydium häkkimine oli esmakordselt avastatud 16. detsembril. Esialgsete aruannete kohaselt oli ründaja kasutanud kogumitest likviidsuse eemaldamiseks funktsiooni remove_pnl ilma LP-märke deponeerimata. Kuid kuna see funktsioon oleks pidanud võimaldama ründajal tehingutasusid eemaldada, saadi tegelik meetod tervete kogumite tühjendamiseks teada alles pärast uurimise läbiviimist.
Allikas: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims