مهاجم از یک آسیب‌پذیری بهره‌برداری کرد که اجازه می‌داد تمام استخرهای نقدینگی به عنوان «کارمزد» برداشت شوند.

تیم پشت صرافی غیرمتمرکز Raydium (DEX) جزئیات نحوه هک 16 دسامبر را فاش کرد و به قربانیان غرامت ارائه کرد.

بر اساس یک پست انجمن رسمی توسط این تیم، هکر با سوء استفاده از یک آسیب پذیری در قراردادهای هوشمند DEX توانست بیش از 2 میلیون دلار غارت رمزنگاری را استخراج کند. این نوع رفتار

این تیم از توکن‌های آنلاک شده خود برای جبران خسارت قربانیانی که توکن‌های Raydium خود را از دست داده‌اند، استفاده خواهد کرد. با این حال، توسعه‌دهنده استیبل کوین و سایر توکن‌های غیر RAY برای جبران خسارت قربانیان ندارد، بنابراین از دارندگان RAY می‌خواهد به استفاده از خزانه سازمان غیرمتمرکز مستقل (DAO) برای بازپرداخت هزینه‌هایی که از خرید توکن‌های از دست رفته آسیب دیده‌اند، رأی دهند. استفاده کنید.

1/ به روز رسانی در مورد تثبیت وجوه برای بهره برداری های اخیر

ابتدا از صبر و شکیبایی همه تا کنون سپاسگزاریم

اولین پیشنهاد آینده نگر برای بحث ارائه شده است. Raydium همه بازخوردها در مورد این پیشنهاد را تشویق و قدردانی می کند.https://t.co/NwV43gEuI9

– Raydium (@RaydiumProtocol) 21 دسامبر 2022

بر اساس گزارش کالبد شکافی جداگانه، اولین گام مهاجم در سوء استفاده، به دست آوردن کنترل کلید خصوصی استخر سرپرست بود. تیم نمی داند چگونه این کلید به دست آمده است، اما مشکوک هستند که ماشین مجازی نگهدارنده کلید به یک برنامه تروجان آلوده شده است.

هنگامی که مهاجم کلید را در دست گرفت، تابعی را فراخوانی کرد تا کارمزدهای تراکنش را برداشت کند که معمولاً به خزانه DAO می رفت تا برای خرید مجدد RAY استفاده شود. در زمان معامله در Raydium، کارمزد معاملات به طور خودکار به خزانه نمی رود. در عوض، آنها تا زمانی که توسط یک مدیر برداشت نشوند، در استخر تامین‌کننده نقدینگی باقی می‌مانند. با این حال، قرارداد هوشمند میزان هزینه های بدهکار به DAO را از طریق پارامترها پیگیری می کند. این باید مانع از برداشت مهاجم بیش از 0.03 درصد از کل حجم معاملات از هر استخر از آخرین برداشت شود.

با این حال، به دلیل نقص در قرارداد، مهاجم توانست به صورت دستی پارامترها را تغییر دهد و این تصور را ایجاد کند که کل استخر نقدینگی کارمزد تراکنش جمع‌آوری شده است. این به مهاجم اجازه می دهد تا تمام وجوه را برداشت کند. پس از برداشت وجوه، مهاجم می‌توانست آن‌ها را به صورت دستی با توکن‌های دیگر مبادله کند و درآمد حاصل از آن را به کیف پول‌های دیگر تحت کنترل مهاجم منتقل کند.

مربوط: توسعه دهنده می گوید پروژه ها از پرداخت پاداش به هکرهای کلاه سفید خودداری می کنند

در پاسخ به این اکسپلویت، تیم قراردادهای هوشمند برنامه را ارتقا داد تا کنترل مدیریت بر پارامترهای مورد سوء استفاده مهاجم را حذف کند.

در پست انجمن 21 دسامبر، توسعه دهندگان طرحی را برای جبران خسارت قربانیان حمله پیشنهاد کردند. این تیم از توکن های RAY آنلاک شده خود برای جبران خسارت دارندگان RAY که توکن های خود را به دلیل حمله از دست داده اند استفاده می کند. او درخواست گفت‌وگوی انجمنی درباره نحوه اجرای طرح جبران خسارت با استفاده از خزانه DAO برای خرید توکن‌های غیرRAY از دست رفته کرد. تیم درخواست یک بحث سه روزه برای حل و فصل موضوع را دارد.

هک 2 میلیون دلاری Raydium برای اولین بار در 16 دسامبر کشف شد. گزارش های اولیه حاکی از آن است که مهاجم از تابع draw_pnl برای استخراج نقدینگی از استخرها بدون واریز توکن های LP استفاده کرده است. با این حال، از آنجایی که این عملکرد فقط باید به مهاجم اجازه دهد تا کارمزد تراکنش را حذف کند، روش واقعی که توسط آن می‌توانست کل استخرها را خالی کند، تا زمانی که تحقیقات انجام نشود، ناشناخته بود.

نویسنده: Tom Blackstone