Raydium merkezi olmayan borsanın (DEX) arkasındaki ekip, 16 Aralık'taki saldırının nasıl gerçekleştiğine ilişkin ayrıntıları açıkladı ve mağdurlara tazminat ödenmesi için bir teklif sundu.
Ekibin resmi forum gönderisine göre, bilgisayar korsanı şu ana kadar 2 milyon doların üzerinde kripto ganimeti elde etmeyi başardı. sömürme DEX'in akıllı sözleşmelerinde, mevcut korumaların bu tür davranışları engellemesine rağmen tüm likidite havuzlarının yöneticiler tarafından geri çekilmesine izin veren bir güvenlik açığı.
Ekip, RAY olarak da bilinen Raydium tokenlarını kaybeden mağdurları telafi etmek için kendi kilidi açılmış tokenlarını kullanacak. Ancak geliştirici, mağdurları tazmin etmek için stablecoin'e ve diğer RAY olmayan tokenlere sahip değil; bu nedenle RAY sahiplerinden, merkezi olmayan özerk organizasyon (DAO) hazinesini kullanarak kayıp tokenleri satın alarak salgından etkilenenlere geri ödeme yapmaları için oy istiyor. faydalanmak.
1/ Son zamanlardaki istismarlara yönelik fonların iyileştirilmesine ilişkin güncelleme
Öncelikle şimdiye kadarki sabrınız için herkese teşekkür ederim
İleriye yönelik bir yol önerisi tartışmaya sunuldu. Raydium, teklifle ilgili tüm geri bildirimleri teşvik eder ve takdir eder.https://t.co/NwV43gEuI9
— Raydyum (@RaydiumProtocol) 21 Aralık 2022
Ayrı bir otopsi raporuna göre, saldırganın bu istismardaki ilk adımı şuydu: kazanç yönetici havuzu özel anahtarının kontrolü. Ekip bu anahtarın nasıl elde edildiğini bilmiyor ancak anahtarın bulunduğu sanal makineye bir truva atı programının bulaştığından şüpheleniyor.
Saldırgan anahtarı aldıktan sonra normalde RAY'in geri alımında kullanılmak üzere DAO hazinesine gidecek olan işlem ücretlerini geri çekmek için bir fonksiyon çağırdı. Raydium'da takas anında işlem ücretleri otomatik olarak hazineye gitmez. Bunun yerine, bir yönetici tarafından geri çekilene kadar likidite sağlayıcının havuzunda kalırlar. Ancak akıllı sözleşme, DAO'ya borçlu olunan ücret miktarını parametreler aracılığıyla takip eder. Bu, saldırganın son çekilmeden bu yana her havuzda meydana gelen toplam işlem hacminin %0.03'ünden fazlasını çekmesini engellemeliydi.
Bununla birlikte, sözleşmedeki bir kusur nedeniyle saldırgan, parametreleri manuel olarak değiştirebildi ve likidite havuzunun tamamının toplanan işlem ücretlerinden oluştuğunu gösterdi. Bu, saldırganın tüm parayı çekmesine olanak sağladı. Fonlar geri çekildikten sonra saldırgan, bunları manuel olarak başka tokenlarla değiştirebildi ve geliri, saldırganın kontrolü altındaki diğer cüzdanlara aktarabildi.
İlgili: Geliştirici, projelerin beyaz şapkalı bilgisayar korsanlarına ödül ödemeyi reddettiğini söylüyor
Bu istismara yanıt olarak ekip, saldırganın istismar ettiği parametreler üzerindeki yönetici kontrolünü ortadan kaldırmak için uygulamanın akıllı sözleşmelerini yükseltti.
21 Aralık tarihli forum gönderisinde geliştiriciler, saldırı mağdurlarına tazminat ödenmesine yönelik bir plan önerdiler. Ekip, saldırı nedeniyle tokenlarını kaybeden RAY sahiplerine tazminat ödemek için kendi kilidi açılmış RAY tokenlarını kullanacak. Kaybolan RAY olmayan tokenleri satın almak için DAO hazinesini kullanarak bir tazminat planının nasıl uygulanacağına dair bir forum tartışması talep edildi. Ekip, sorunun karara bağlanması için üç günlük bir tartışma yapılmasını istiyor.
2 milyon dolarlık Raydium hack'i ilk keşfetti İlk raporlar, saldırganın, LP tokenlarını yatırmadan havuzlardan likidite çekmek içindraw_pnl işlevini kullandığını söyledi. Ancak bu işlevin yalnızca saldırganın işlem ücretlerini kaldırmasına izin vermesi gerektiğinden, tüm havuzları boşaltabilecekleri gerçek yöntem, bir soruşturma yürütülene kadar bilinmiyordu.
Kaynak: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims