Teamet bak Raydium desentraliserte børsen (DEX) har annonsert detaljer om hvordan hacket den 16. desember skjedde og tilbudt et forslag om å kompensere ofre.
I følge et offisielt foruminnlegg fra teamet klarte hackeren å klare seg med over 2 millioner dollar i kryptobytte av utnytte en sårbarhet i DEX sine smarte kontrakter som tillot hele likviditetspooler å bli trukket tilbake av administratorer, til tross for at eksisterende beskyttelse er for å forhindre slik oppførsel.
Teamet vil bruke sine egne ulåste tokens for å kompensere ofre som mistet Raydium-tokens, også kjent som RAY. Utvikleren har imidlertid ikke stablecoin og andre ikke-RAY-tokens for å kompensere ofre, så den ber om en stemme fra RAY-innehavere for å bruke den desentraliserte autonome organisasjonen (DAO) statskassen til å kjøpe de manglende tokenene for å tilbakebetale de som er berørt av utnytte.
1/ Oppdatering om utbedring av midler for nylig utnyttelse
Først, takk for alles tålmodighet frem til nå
Et første forslag om en vei videre er lagt ut for diskusjon. Raydium oppmuntrer og setter pris på alle tilbakemeldinger på forslaget.https://t.co/NwV43gEuI9
- Raydium (@RaydiumProtocol) Desember 21, 2022
Ifølge en egen obduksjonsrapport var angriperens første skritt i utnyttelsen å gevinst kontroll av en privat nøkkel for admin pool. Teamet vet ikke hvordan denne nøkkelen ble skaffet, men de mistenker at den virtuelle maskinen som inneholdt nøkkelen ble infisert med et trojansk program.
Når angriperen hadde nøkkelen, kalte de en funksjon for å trekke ut transaksjonsgebyrer som normalt vil gå til DAOs statskasse for å bli brukt til tilbakekjøp av RAY. På Raydium går ikke transaksjonsgebyrer automatisk til statskassen i øyeblikket av en bytte. I stedet forblir de i likviditetsleverandørens pool til de trekkes ut av en administrator. Imidlertid holder den smarte kontrakten oversikt over mengden gebyrer som skyldtes DAO gjennom parametere. Dette skal ha forhindret angriperen fra å kunne ta ut mer enn 0.03 % av det totale handelsvolumet som hadde skjedd i hver pool siden siste uttak.
Likevel, på grunn av en feil i kontrakten, var angriperen i stand til å endre parameterne manuelt, slik at det ser ut til at hele likviditetspoolen var transaksjonsgebyrer som ble innkrevd. Dette tillot angriperen å ta ut alle midlene. Når midlene ble trukket ut, var angriperen i stand til manuelt å bytte dem mot andre tokens og overføre inntektene til andre lommebøker under angriperens kontroll.
Relatert: Utvikler sier at prosjekter nekter å betale dusører til white hat-hackere
Som svar på utnyttelsen har teamet oppgradert appens smarte kontrakter for å fjerne adminkontroll over parameterne som ble utnyttet av angriperen.
I foruminnlegget 21. desember foreslo utviklerne en plan for å kompensere ofre for angrepet. Laget vil bruke sine egne ulåste RAY-tokens for å kompensere RAY-innehavere som mistet sine tokens på grunn av angrepet. Den har bedt om en forumdiskusjon om hvordan man implementerer en kompensasjonsplan ved å bruke DAOs statskasse for å kjøpe ikke-RAY-tokens som har gått tapt. Teamet ber om en tre-dagers diskusjon for å avgjøre saken.
$2 millioner Raydium hacket var først oppdaget 16. desember. De første rapportene sa at angriperen hadde brukt funksjonen withdraw_pnl for å fjerne likviditet fra bassenger uten å sette inn LP-tokens. Men siden denne funksjonen bare skulle ha tillatt angriperen å fjerne transaksjonsgebyrer, var den faktiske metoden for å tømme hele bassenger ikke kjent før etter at en etterforskning hadde blitt utført.
Kilde: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims