Holdet bag Raydium decentraliserede børs (DEX) har annonceret detaljer om, hvordan hacket den 16. december fandt sted, og tilbudt et forslag om at kompensere ofre.
Ifølge et officielt forumindlæg fra holdet var hackeren i stand til at klare sig med over 2 millioner dollars i kryptobytte af udnytte en sårbarhed i DEX's smarte kontrakter, der gjorde det muligt at trække hele likviditetspuljer tilbage af administratorer, på trods af at eksisterende beskyttelser skulle forhindre sådan adfærd.
Holdet vil bruge sine egne ulåste tokens til at kompensere ofre, der mistede Raydium-tokens, også kendt som RAY. Udvikleren har dog ikke stablecoin og andre ikke-RAY-tokens til at kompensere ofre, så den beder om en stemme fra RAY-indehavere til at bruge den decentraliserede autonome organisation (DAO) statskasse til at købe de manglende tokens for at tilbagebetale dem, der er berørt af udnytte.
1/ Opdatering om udbedring af midler til nylig udnyttelse
Først tak for alles tålmodighed indtil nu
Et indledende forslag om en vej frem er blevet sendt til diskussion. Raydium opmuntrer og værdsætter al feedback på forslaget.https://t.co/NwV43gEuI9
- Raydium (@RaydiumProtocol) 21. December, 2022
Ifølge en separat obduktionsrapport var angriberens første skridt i udnyttelsen at gevinst kontrol af en privat nøgle til administrationspuljen. Holdet ved ikke, hvordan denne nøgle blev opnået, men det formoder, at den virtuelle maskine, der holdt nøglen, blev inficeret med et trojansk program.
Da angriberen havde fået nøglen, kaldte de en funktion til at hæve transaktionsgebyrer, der normalt ville gå til DAO's statskasse for at blive brugt til tilbagekøb af RAY. På Raydium går transaktionsgebyrer ikke automatisk til statskassen i det øjeblik, der foretages en swap. I stedet forbliver de i likviditetsudbyderens pulje, indtil de trækkes tilbage af en administrator. Den smarte kontrakt holder dog styr på mængden af gebyrer, der skylder DAO gennem parametre. Dette skulle have forhindret angriberen i at kunne hæve mere end 0.03 % af den samlede handelsvolumen, der havde fundet sted i hver pulje siden sidste tilbagetrækning.
Ikke desto mindre, på grund af en fejl i kontrakten, var angriberen i stand til manuelt at ændre parametrene, så det ser ud til, at hele likviditetspuljen var transaktionsgebyrer, der var blevet opkrævet. Dette gjorde det muligt for angriberen at trække alle midlerne tilbage. Når midlerne var trukket tilbage, var angriberen i stand til manuelt at bytte dem til andre tokens og overføre provenuet til andre tegnebøger under angriberens kontrol.
Relateret: Udvikler siger, at projekter nægter at betale dusører til white hat-hackere
Som svar på udnyttelsen har teamet opgraderet appens smarte kontrakter for at fjerne admin kontrol over de parametre, der blev udnyttet af angriberen.
I forumindlægget den 21. december foreslog udviklerne en plan for at kompensere ofrene for angrebet. Holdet vil bruge sine egne ulåste RAY-tokens til at kompensere RAY-indehavere, der mistede deres tokens på grund af angrebet. Det har bedt om en forumdiskussion om, hvordan man implementerer en kompensationsplan ved hjælp af DAO's statskasse til at købe ikke-RAY-tokens, der er gået tabt. Holdet beder om en tre-dages diskussion for at afgøre spørgsmålet.
$2 millioner Raydium hack var første opdaget den 16. december. De første rapporter sagde, at angriberen havde brugt funktionen withdraw_pnl til at fjerne likviditet fra puljer uden at indsætte LP-tokens. Men da denne funktion kun skulle have tilladt angriberen at fjerne transaktionsgebyrer, var den faktiske metode, hvormed de kunne dræne hele puljer, ikke kendt før efter en undersøgelse var blevet udført.
Kilde: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims