تصرف مهاجم شرير وحازم التصميم بشكل غير لائق باستخدام حساب سلطة Raydium Liquidity Pool V4. ومع ذلك ، يتم تحقيق ذلك من خلال الاتصال بمالك المسبح أو حساب الإدارة. ومع ذلك ، في حالة سيناريو حساب مالك التجمع ، تم وضعه في الأصل على جهاز ظاهري مزود بخادم داخلي محدد.
على الرغم من جميع الحقائق التي تم تجميعها حاليًا ، هناك حاليًا تدقيق داخلي للأمن يتم إجراؤه بهدف ونية محاولة فك جميع الأسباب المحتملة للتلاعب بالحساب المعني. ومع ذلك ، فإن الحقيقة الحقيقية للمسألة لا تزال قائمة مع العلم بأنه لا يزال هناك إفشاء مناسب للقضية ، والتي ستتحول عن غير قصد إلى فهم أفضل وأوضح.
ومع ذلك ، بالنظر إلى جميع المعلمات غير المعروفة ، من الواضح أن المهاجم كان قادرًا على التأثير سلبًا على ثمانية مجمعات سيولة ثابتة للمنتج على Raydium. ومع ذلك ، أدى ذلك إلى سرقة أموال تقدر بنحو 4.4 مليون دولار. علاوة على ذلك ، فإن نعمة التوفير هي أنه لم يشهد أي تجمع أو أموال أخرى في Raydium أي اختلاس.
استخدم المهاجم طريقتين أساسيتين في استغلال الراديوم. إحدى الطرق كانت عندما يتمكن المهاجم من الاستفادة من عمل تعليمات pullPNL لسحب الأموال ، بشكل أكبر في شكل رسوم ، من قبو التجمع. في الحالة الثانية ، استخدم المهاجم تعليمات SetParams لتغيير الرسوم المتوقعة وزيادتها ، وبالتالي سحب الأموال من قبو المجمع.
Radiyum ، من جانبها ، لوقف المهاجم ، وضعت رقعة ساخنة ساعدت في إبطال صلاحية الحساب السابق ، وتحديثه إلى حساب جديد. التصحيح ، في سيناريو هذه الحالة ، ألغى سلطة المهاجم ، ومنع أي إساءة استخدام أخرى للتجمعات. بعد الخطوات الأولية ، تم تطوير البرنامج بمساعدة Squads multisig لإزالة معلمات الإدارة غير المرغوب فيها التي تؤثر على الأموال.
علاوة على ذلك ، بعض المعلمات التي تمت إزالتها هي AmmParams :: MinSize و AmmParams :: SetLpSupply و AmmParams :: SyncNeedTake و AmmParams :: SyncLp.
يتم تحديث جميع معلمات الإدارة حسب الأصول إلى مجموعات multisig ، والتي يتم استخدامها حاليًا لترقية البرامج. لمزيد من الحماية ، فإن Radyium في طور فهم تأثير الاختلاس على تجمعات أرصدة المستخدم LP. بالإضافة إلى ذلك ، يتم أيضًا تتبع محافظ المهاجمين أثناء تسجيل طرق لإعادة الأموال. لمزيد من الأمور المتعلقة بالمستوى ، يتلقى Radyium المساعدة من بعض فرق Solana ومدققي الطرف الثالث والتبادلات المركزية. يتم أيضًا تقديم مكافأة بنسبة 3 ٪ بدلاً من الأموال المعادة.
المصدر: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-l Liquidity-pool-v4s-exploit/