Raydium-ის დეცენტრალიზებული ბირჟის (DEX) მხარდამჭერმა გუნდმა გამოაცხადა დეტალები იმის შესახებ, თუ როგორ მოხდა 16 დეკემბრის ჰაკინგი და შესთავაზა მსხვერპლის კომპენსაციის წინადადება.
გუნდის ოფიციალური ფორუმის პოსტის მიხედვით, ჰაკერმა შეძლო 2 მილიონ დოლარზე მეტი კრიპტო ძარცვა. ექსპლუატაციაში დაუცველობა DEX-ის ჭკვიან კონტრაქტებში, რომელიც საშუალებას აძლევდა მთელი ლიკვიდობის აუზების ამოღებას ადმინისტრატორების მიერ, მიუხედავად იმისა, რომ არსებული დაცვა ასეთი ქცევის თავიდან ასაცილებლად იყო.
გუნდი გამოიყენებს საკუთარ განბლოკილ ჟეტონებს მსხვერპლთა კომპენსაციისთვის, რომლებმაც დაკარგეს Raydium ტოკენები, ასევე ცნობილი როგორც RAY. თუმცა, დეველოპერს არ აქვს stablecoin და სხვა არა-RAY ტოკენები მსხვერპლთა კომპენსაციისთვის, ამიტომ ის ითხოვს ხმას RAY-ის მფლობელებისგან, რათა გამოიყენონ დეცენტრალიზებული ავტონომიური ორგანიზაციის ხაზინა დაკარგული ტოკენების შესაძენად, რათა გადაუხადონ დაზარალებულებს. ექსპლუატაცია.
1/ განახლება ბოლოდროინდელი ექსპლუატაციისთვის სახსრების გამოსწორების შესახებ
პირველ რიგში, მადლობა ყველას მოთმინებისთვის დღემდე
განსახილველად გამოქვეყნებულია პირველადი წინადადება წინსვლის გზის შესახებ. Raydium ხელს უწყობს და აფასებს ყველა გამოხმაურებას წინადადებაზე.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) დეკემბერი 21, 2022
ცალკეული სიკვდილის შემდეგ მოხსენების თანახმად, თავდამსხმელის პირველი ნაბიჯი ექსპლუატაციაში იყო მოპოვება ადმინისტრატორის აუზის პირადი გასაღების კონტროლი. გუნდმა არ იცის როგორ მოიპოვა ეს გასაღები, მაგრამ ეჭვობს, რომ ვირტუალური მანქანა, რომელსაც ეს გასაღები ეჭირა, ტროას პროგრამით დაინფიცირდა.
მას შემდეგ, რაც თავდამსხმელს ჰქონდა გასაღები, მათ გამოიძახეს ფუნქცია ტრანზაქციის საკომისიოს გამოსატანად, რომელიც ჩვეულებრივ მიდიოდა DAO-ს ხაზინაში, რათა გამოიყენებოდა RAY-ის შესყიდვისთვის. Raydium-ზე ტრანზაქციის საკომისიო ავტომატურად არ მიდის ხაზინაში სვოპის მომენტში. სანაცვლოდ, ისინი რჩებიან ლიკვიდობის პროვაიდერის აუზში, სანამ ადმინისტრატორს არ გამოიტანს. თუმცა, ჭკვიანი კონტრაქტი აკონტროლებს DAO-ს წინაშე დაკისრებული გადასახადების ოდენობას პარამეტრების საშუალებით. ამან ხელი უნდა შეუშლიდა თავდამსხმელს, რომ შეეძლო გაეტანა მთლიანი სავაჭრო მოცულობის 0.03%-ზე მეტი, რაც მოხდა თითოეულ აუზში ბოლო გატანის შემდეგ.
მიუხედავად ამისა, კონტრაქტში არსებული ხარვეზის გამო, თავდამსხმელმა შეძლო პარამეტრების ხელით შეცვლა, რაც ჩანდა, რომ მთელი ლიკვიდობის ფონდი იყო ტრანზაქციის საკომისიო, რომელიც შეგროვდა. ამან თავდამსხმელს საშუალება მისცა ამოეღო ყველა თანხა. თანხების გატანის შემდეგ, თავდამსხმელს შეეძლო ხელით შეეცვალა ისინი სხვა ტოკენებით და გადაეტანა შემოსავალი სხვა საფულეებში თავდამსხმელის კონტროლის ქვეშ.
ამავე თემაზე: დეველოპერი ამბობს, რომ პროექტები უარს ამბობენ თეთრი ქუდის ჰაკერებისთვის ჯილდოს გადახდაზე
ექსპლოიტის საპასუხოდ, გუნდმა განაახლეს აპლიკაციის ჭკვიანი კონტრაქტები, რათა მოხსნას ადმინისტრატორის კონტროლი იმ პარამეტრებზე, რომლებიც გამოიყენეს თავდამსხმელმა.
21 დეკემბრის ფორუმის პოსტში დეველოპერებმა შემოგვთავაზეს თავდასხმის მსხვერპლთა კომპენსაციის გეგმა. გუნდი გამოიყენებს საკუთარ განბლოკილ RAY ჟეტონებს RAY მფლობელების კომპენსაციისთვის, რომლებმაც დაკარგეს ტოკენები თავდასხმის გამო. მან მოითხოვა ფორუმზე დისკუსია იმის შესახებ, თუ როგორ უნდა განხორციელდეს კომპენსაციის გეგმა DAO-ს ხაზინის გამოყენებით დაკარგული არა-RAY ტოკენების შესაძენად. გუნდი ითხოვს სამდღიანი დისკუსიის ჩატარებას საკითხის გადასაწყვეტად.
Raydium-ის 2 მილიონი დოლარის ჰაკი იყო პირველი აღმოაჩინეს 16 დეკემბერს. პირველადი ინფორმაციით, თავდამსხმელმა გამოიყენა remove_pnl ფუნქცია, რათა ამოეღო ლიკვიდობა ფონდებიდან LP ტოკენების დეპონირების გარეშე. მაგრამ ვინაიდან ამ ფუნქციამ თავდამსხმელს მხოლოდ ტრანზაქციის საკომისიოების მოხსნის საშუალება უნდა მისცემდა, ფაქტობრივი მეთოდი, რომლითაც მათ შეეძლოთ მთელი აუზის გადინება, ცნობილი არ იყო გამოძიების ჩატარების შემდეგ.
წყარო: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims