Ekipi që qëndron pas shkëmbimit të decentralizuar të Raydium (DEX) ka njoftuar detaje se si ndodhi hakimi i 16 dhjetorit dhe ofroi një propozim për të kompensuar viktimat.
Sipas një postimi zyrtar në forum nga ekipi, hakeri ishte në gjendje të fitonte mbi 2 milionë dollarë në grabitje kriptosh nga duke shfrytëzuar një dobësi në kontratat inteligjente të DEX-it që lejonte tërheqjen e të gjitha grupeve të likuiditetit nga administratorët, pavarësisht nga mbrojtjet ekzistuese për të parandaluar një sjellje të tillë.
Ekipi do të përdorë argumentet e veta të zhbllokuar për të kompensuar viktimat që humbën shenjat Raydium, të njohura gjithashtu si RAY. Sidoqoftë, zhvilluesi nuk ka stablecoin dhe argumentet e tjera jo-RAY për të kompensuar viktimat, kështu që po kërkon një votë nga mbajtësit e RAY për të përdorur thesarin e organizatës autonome të decentralizuar (DAO) për të blerë argumentet që mungojnë për të shlyer ata që janë prekur nga shfrytëzojnë.
1/ Përditësim mbi korrigjimin e fondeve për shfrytëzimin e fundit
Së pari, faleminderit për durimin e të gjithëve deri tani
Një propozim fillestar për një rrugë përpara është postuar për diskutim. Raydium inkurajon dhe vlerëson të gjitha reagimet për propozimin.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) Dhjetor 21, 2022
Sipas një raporti të veçantë pas vdekjes, hapi i parë i sulmuesit në shfrytëzimin ishte të fitoj kontrolli i një çelësi privat të pishinës së administratorit. Ekipi nuk e di se si është marrë ky çelës, por dyshon se makina virtuale që mbante çelësin është infektuar me një program trojan.
Pasi sulmuesi kishte çelësin, ata thirrën një funksion për të tërhequr tarifat e transaksionit që normalisht do të shkonin në thesarin e DAO për t'u përdorur për blerjen e RAY. Në Raydium, tarifat e transaksionit nuk shkojnë automatikisht në thesar në momentin e një shkëmbimi. Në vend të kësaj, ato mbeten në grupin e ofruesit të likuiditetit derisa të tërhiqen nga një administrator. Sidoqoftë, kontrata e zgjuar mban gjurmët e shumës së tarifave që i detyrohen DAO përmes parametrave. Kjo duhet ta kishte penguar sulmuesin që të ishte në gjendje të tërhiqte më shumë se 0.03% të vëllimit total të tregtimit që kishte ndodhur në çdo grup që nga tërheqja e fundit.
Megjithatë, për shkak të një defekti në kontratë, sulmuesi ishte në gjendje të ndryshonte manualisht parametrat, duke bërë të duket se i gjithë grupi i likuiditetit ishte tarifa e transaksionit që ishte mbledhur. Kjo i lejoi sulmuesit të tërhiqte të gjitha fondet. Pasi fondet u tërhoqën, sulmuesi ishte në gjendje t'i ndërronte manualisht me tokena të tjerë dhe t'i transferonte të ardhurat në kuletat e tjera nën kontrollin e sulmuesit.
Related: Zhvilluesi thotë se projektet po refuzojnë të paguajnë shpërblime për hakerat e kapelave të bardha
Në përgjigje të shfrytëzimit, ekipi ka përmirësuar kontratat inteligjente të aplikacionit për të hequr kontrollin e administratorit mbi parametrat që janë shfrytëzuar nga sulmuesi.
Në postimin e forumit të 21 dhjetorit, zhvilluesit propozuan një plan për të kompensuar viktimat e sulmit. Ekipi do të përdorë shenjat e veta të zhbllokuar RAY për të kompensuar mbajtësit e RAY që humbën argumentet e tyre për shkak të sulmit. Ajo ka kërkuar një diskutim në forum se si të zbatohet një plan kompensimi duke përdorur thesarin e DAO për të blerë shenja jo-RAY që kanë humbur. Ekipi po kërkon që të zhvillohet një diskutim tre-ditor për të vendosur këtë çështje.
Hakimi prej 2 milionë dollarësh Raydium ishte zbuluar së pari më 16 dhjetor. Raportet fillestare thanë se sulmuesi kishte përdorur funksionin tërheq_pnl për të hequr likuiditetin nga grupet pa depozituar argumente LP. Por meqenëse ky funksion duhet t'i lejonte sulmuesit vetëm të hiqte tarifat e transaksionit, metoda aktuale me të cilën ata mund të kullonin pishina të tëra nuk dihej vetëm pasi të ishte kryer një hetim.
Burimi: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims