Raydium орталықсыздандырылған биржасының (DEX) артындағы топ 16 желтоқсандағы хакерлік шабуылдың қалай болғаны туралы мәліметтерді жариялады және зардап шеккендерге өтемақы төлеу туралы ұсыныс жасады.
Команданың ресми форум жазбасына сәйкес, хакер криптовалютадан 2 миллион доллардан астам ақшаны жеңе алды. пайдалану DEX ақылды келісім-шарттарындағы осалдық, ол барлық өтімділік пулдарын әкімшілерге қайтарып алуға мүмкіндік берді, бірақ мұндай әрекетке жол бермеу үшін бар қорғау шаралары бар.
Команда RAY деп аталатын Raydium токендерін жоғалтқан құрбандарға өтемақы алу үшін өзінің құлыптан босатылған таңбалауыштарын пайдаланады. Дегенмен, әзірлеушіде зардап шеккендерге өтемақы төлеу үшін стабилкоин және басқа RAY емес таңбалауыштары жоқ, сондықтан ол RAY иелерінен орталықтандырылмаған автономды ұйымның (DAO) қазынашылық қорын пайдаланып, жетіспейтін белгілерді сатып алу үшін дауыс беруді сұрайды. пайдалану.
1/ Соңғы пайдалану үшін қаражатты қалпына келтіру туралы жаңарту
Біріншіден, барлығына осы уақытқа дейін шыдамдылық танытқаны үшін рахмет
Алға қарай жол туралы алғашқы ұсыныс талқылауға жіберілді. Raydium ұсыныс бойынша барлық пікірлерді қолдайды және бағалайды.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) Желтоқсан 21, 2022
Өлімнен кейінгі бөлек есеп бойынша, шабуылдаушының эксплуатациядағы алғашқы қадамы пайда әкімші пулының жеке кілтін басқару. Команда бұл кілттің қалай алынғанын білмейді, бірақ кілтті ұстаған виртуалды машина трояндық бағдарламаны жұқтырды деп күдіктенеді.
Шабуылдаушы кілтке ие болғаннан кейін, олар әдетте RAY сатып алу үшін пайдаланылатын DAO қазынасына түсетін транзакциялық комиссияларды алу функциясын шақырды. Raydium-да транзакциялық комиссиялар своп кезінде автоматты түрде қазынашылыққа түспейді. Оның орнына олар әкімші қайтарып алғанша өтімділік провайдерінің пулында қалады. Дегенмен, смарт келісімшарт параметрлер арқылы DAO-ға төленетін алымдар сомасын қадағалайды. Бұл шабуылдаушыға соңғы шығарудан бері әрбір пулда орын алған жалпы сауда көлемінің 0.03%-дан астамын қайтарып алу мүмкіндігін болдырмауы керек еді.
Соған қарамастан, келісім-шарттағы кемшіліктерге байланысты шабуылдаушы параметрлерді қолмен өзгерте алды, бұл бүкіл өтімділік пулы жиналған транзакциялық комиссиялар болып көрінді. Бұл шабуылдаушыға барлық қаражатты алып тастауға мүмкіндік берді. Қаражаттар алынып тасталғаннан кейін, шабуылдаушы оларды басқа белгілерге қолмен ауыстыра алды және кірісті шабуылдаушының бақылауындағы басқа әмияндарға аудара алды.
Қатысты: Әзірлеуші жобалар ақ қалпақ хакерлеріне сыйақы төлеуден бас тартады дейді
Эксплойтқа жауап ретінде топ шабуылдаушы пайдаланған параметрлерге әкімші бақылауын жою үшін қолданбаның смарт келісімшарттарын жаңартты.
21 желтоқсандағы форум жазбасында әзірлеушілер шабуыл құрбандарына өтемақы төлеу жоспарын ұсынды. Шабуыл салдарынан токендерін жоғалтқан RAY иелерінің орнын толтыру үшін команда өзінің құлпы ашылған RAY токендерін пайдаланады. Ол жоғалған RAY емес таңбалауыштарды сатып алу үшін DAO қазынасын пайдалана отырып, өтемақы жоспарын қалай жүзеге асыру керектігі туралы форумды талқылауды сұрады. Команда мәселені шешу үшін үш күндік талқылау өткізуді сұрайды.
2 миллион долларлық Raydium бұзуы болды алдымен табылды 16 желтоқсанда. Бастапқы есептер шабуылдаушының LP токендерін қоймастан пулдардан өтімділікті жою үшін withdraw_pnl функциясын пайдаланғаны айтылған. Бірақ бұл функция шабуылдаушыға транзакциялық комиссияларды алып тастауға ғана рұқсат беруі керек болғандықтан, олардың бүкіл бассейндерді төге алатын нақты әдісі тергеу жүргізілгенге дейін белгісіз болды.
Дереккөз: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims