أعلن الفريق الذي يقف وراء بورصة Raydium اللامركزية (DEX) عن تفاصيل حول كيفية حدوث الاختراق في 16 ديسمبر وعرض اقتراحًا لتعويض الضحايا.
وفقًا لمنتدى رسمي من الفريق ، تمكن المخترق من تحقيق نهب أكثر من 2 مليون دولار من نهب التشفير عن طريق استغلال ثغرة أمنية في العقود الذكية الخاصة بـ DEX والتي سمحت للمسؤولين بسحب مجمعات السيولة بالكامل ، على الرغم من أن الحماية الحالية تمنع مثل هذا السلوك.
سيستخدم الفريق الرموز المميزة الخاصة به لتعويض الضحايا الذين فقدوا رموز Raydium ، والمعروفة أيضًا باسم RAY. ومع ذلك ، لا يمتلك المطور العملة المستقرة وغيرها من الرموز المميزة بخلاف RAY لتعويض الضحايا ، لذا فهو يطلب تصويتًا من حاملي RAY لاستخدام خزينة المنظمة اللامركزية المستقلة (DAO) لشراء الرموز المفقودة لسداد المتأثرين من قبل استغلال.
1 / تحديث حول معالجة الأموال لاستغلالها مؤخرًا
أولا ، شكرا لصبر الجميع حتى الآن
تم نشر اقتراح مبدئي حول كيفية المضي قدمًا للمناقشة. يشجع Raydium ويقدر جميع التعليقات على الاقتراح.https://t.co/NwV43gEuI9
- Raydium (RaydiumProtocol) 21 كانون الأول، 2022
وفقًا لتقرير منفصل بعد الوفاة ، كانت الخطوة الأولى للمهاجم في الاستغلال هي ربح التحكم في المفتاح الخاص لمجموعة الإدارة. لا يعرف الفريق كيف تم الحصول على هذا المفتاح ، لكنه يشتبه في أن الجهاز الظاهري الذي كان يحمل المفتاح أصيب ببرنامج طروادة.
بمجرد حصول المهاجم على المفتاح ، استدعوا وظيفة لسحب رسوم المعاملات التي عادة ما تذهب إلى خزانة DAO لاستخدامها في عمليات إعادة شراء RAY. في Raydium ، لا تذهب رسوم المعاملات تلقائيًا إلى الخزينة في لحظة المقايضة. بدلاً من ذلك ، تظل في تجمع مزود السيولة حتى يتم سحبها من قبل المسؤول. ومع ذلك ، فإن العقد الذكي يتتبع مقدار الرسوم المستحقة لـ DAO من خلال المعلمات. كان ينبغي أن يمنع هذا المهاجم من أن يتمكن من سحب أكثر من 0.03٪ من إجمالي حجم التداول الذي حدث في كل مجموعة منذ آخر سحب.
ومع ذلك ، وبسبب وجود خلل في العقد ، تمكن المهاجم من تغيير المعلمات يدويًا ، مما جعله يبدو أن مجمع السيولة بأكمله كان عبارة عن رسوم معاملات تم تحصيلها. سمح هذا للمهاجم بسحب جميع الأموال. بمجرد سحب الأموال ، تمكن المهاجم من استبدالها يدويًا برموز أخرى وتحويل العائدات إلى محافظ أخرى تحت سيطرة المهاجم.
هذا الموضوع ذو علاقة بـ: يقول المطور إن المشاريع ترفض دفع مكافآت لقراصنة القبعات البيضاء
ردًا على الاستغلال ، قام الفريق بترقية العقود الذكية للتطبيق لإزالة سيطرة المسؤول على المعلمات التي استغلها المهاجم.
في منتدى 21 ديسمبر ، اقترح المطورون خطة لتعويض ضحايا الهجوم. سيستخدم الفريق رموز RAY المميزة الخاصة به لتعويض حاملي RAY الذين فقدوا رموزهم المميزة بسبب الهجوم. وقد طلبت مناقشة منتدى حول كيفية تنفيذ خطة تعويض باستخدام خزينة DAO لشراء الرموز المميزة بخلاف RAY التي تم فقدها. يطلب الفريق إجراء مناقشة لمدة ثلاثة أيام للبت في المشكلة.
كان اختراق Raydium بقيمة 2 مليون دولار اكتشفت لأول مرة في 16 كانون الأول (ديسمبر) ، ذكرت التقارير الأولية أن المهاجم قد استخدم وظيفة pull_pnl لإزالة السيولة من المجمعات دون إيداع الرموز المميزة LP. ولكن نظرًا لأن هذه الوظيفة كان يجب أن تسمح للمهاجم فقط بإزالة رسوم المعاملات ، فإن الطريقة الفعلية التي يمكنهم من خلالها استنزاف مجموعات كاملة لم تكن معروفة إلا بعد إجراء تحقيق.
المصدر: https://cointelegraph.com/news/raydium-announce-details-of-hack-proposes-compensation-for-victims