Тимот зад децентрализираната размена на Raydium (DEX) објави детали за тоа како се случи хакирањето на 16 декември и понуди предлог за обештетување на жртвите.
Според официјалната објава на форумот од тимот, хакерот успеал да се офајди со преку 2 милиони долари крипто плен од искористувајќи ранливост во паметните договори на DEX што овозможи администраторите да ги повлечат цели базени за ликвидност, и покрај тоа што постојната заштита е да се спречи таквото однесување.
Тимот ќе користи свои отклучени токени за да им надомести на жртвите кои ги изгубиле токените на Raydium, познати и како RAY. Сепак, инвеститорот ги нема stablecoin и други токени кои не се RAY за да им исплати компензација на жртвите, па затоа бара глас од носителите на RAY да ја користат благајната на децентрализираната автономна организација (DAO) за да ги купат исчезнатите токени за да ги отплатат оние кои се погодени од експлоатираат.
1/ Ажурирање за санација на средствата за неодамнешниот експлоат
Прво, благодарам за трпението на сите до сега
Првичниот предлог за патот напред е поставен на дискусија. Raydium ги охрабрува и ги цени сите повратни информации за предлогот.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) Декември 21, 2022
Според посебен извештај по смртта, првиот чекор на напаѓачот во експлоатацијата бил да се здобијат со контрола на приватен клуч за административен базен. Тимот не знае како е добиен овој клуч, но се сомнева дека виртуелната машина што го држела клучот се заразила со тројанска програма.
Откако напаѓачот го имаше клучот, тие повикаа функција за повлекување на такси за трансакции кои вообичаено ќе одат во касата на DAO за да се користат за откуп на RAY. На Raydium, таксите за трансакции не одат автоматски во трезорот во моментот на замена. Наместо тоа, тие остануваат во базенот на давателот на ликвидност додека администраторот не ги повлече. Сепак, паметниот договор го следи износот на надоместоците што му се должат на DAO преку параметри. Ова требаше да го спречи напаѓачот да може да повлече повеќе од 0.03% од вкупниот обем на тргување што се случи во секој базен од последното повлекување.
Како и да е, поради пропуст во договорот, напаѓачот можел рачно да ги промени параметрите, правејќи да изгледа дека целиот фонд на ликвидност е наплатен надоместок за трансакција. Ова му овозможи на напаѓачот да ги повлече сите средства. Откако средствата беа повлечени, напаѓачот можеше рачно да ги замени за други токени и да ги пренесе приходите во други паричници под контрола на напаѓачот.
Поврзани со: Инвеститорот вели дека проектите одбиваат да им платат награди на хакерите со бела капа
Како одговор на експлоатацијата, тимот ги надгради паметните договори на апликацијата за да ја отстрани административната контрола врз параметрите што биле експлоатирани од напаѓачот.
Во објавата на форумот на 21 декември, програмерите предложија план за обештетување на жртвите од нападот. Тимот ќе користи свои отклучени RAY токени за да им компензира на имателите на RAY кои ги изгубиле своите токени поради нападот. Побара дискусија на форум за тоа како да се имплементира план за компензација со користење на благајната на DAO за купување на изгубени токени кои не се RAY. Тимот бара да се одржи тридневна дискусија за да се реши ова прашање.
Хак Raydium од 2 милиони долари беше првпат откриен на 16 декември. Првичните извештаи велеа дека напаѓачот ја користел функцијата повлече_pnl за да ја отстрани ликвидноста од базените без да депонира LP токени. Но, бидејќи оваа функција требаше да му дозволи на напаѓачот само да ги отстрани таксите за трансакции, вистинскиот метод со кој тие можеа да исцедат цели базени не беше познат дури откако беше спроведена истрага.
Извор: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims