مهاجم از یک آسیبپذیری بهرهبرداری کرد که اجازه میداد تمام استخرهای نقدینگی به عنوان «کارمزد» برداشت شوند.
تیم پشت صرافی غیرمتمرکز Raydium (DEX) جزئیات نحوه هک 16 دسامبر را فاش کرد و به قربانیان غرامت ارائه کرد.
بر اساس یک پست انجمن رسمی توسط این تیم، هکر با سوء استفاده از یک آسیب پذیری در قراردادهای هوشمند DEX توانست بیش از 2 میلیون دلار غارت رمزنگاری را استخراج کند. این نوع رفتار
این تیم از توکنهای آنلاک شده خود برای جبران خسارت قربانیانی که توکنهای Raydium خود را از دست دادهاند، استفاده خواهد کرد. با این حال، توسعهدهنده استیبل کوین و سایر توکنهای غیر RAY برای جبران خسارت قربانیان ندارد، بنابراین از دارندگان RAY میخواهد به استفاده از خزانه سازمان غیرمتمرکز مستقل (DAO) برای بازپرداخت هزینههایی که از خرید توکنهای از دست رفته آسیب دیدهاند، رأی دهند. استفاده کنید.
1/ به روز رسانی در مورد تثبیت وجوه برای بهره برداری های اخیر
ابتدا از صبر و شکیبایی همه تا کنون سپاسگزاریم
اولین پیشنهاد آینده نگر برای بحث ارائه شده است. Raydium همه بازخوردها در مورد این پیشنهاد را تشویق و قدردانی می کند.https://t.co/NwV43gEuI9
– Raydium (@RaydiumProtocol) 21 دسامبر 2022
بر اساس گزارش کالبد شکافی جداگانه، اولین گام مهاجم در سوء استفاده، به دست آوردن کنترل کلید خصوصی استخر سرپرست بود. تیم نمی داند چگونه این کلید به دست آمده است، اما مشکوک هستند که ماشین مجازی نگهدارنده کلید به یک برنامه تروجان آلوده شده است.
هنگامی که مهاجم کلید را در دست گرفت، تابعی را فراخوانی کرد تا کارمزدهای تراکنش را برداشت کند که معمولاً به خزانه DAO می رفت تا برای خرید مجدد RAY استفاده شود. در زمان معامله در Raydium، کارمزد معاملات به طور خودکار به خزانه نمی رود. در عوض، آنها تا زمانی که توسط یک مدیر برداشت نشوند، در استخر تامینکننده نقدینگی باقی میمانند. با این حال، قرارداد هوشمند میزان هزینه های بدهکار به DAO را از طریق پارامترها پیگیری می کند. این باید مانع از برداشت مهاجم بیش از 0.03 درصد از کل حجم معاملات از هر استخر از آخرین برداشت شود.
با این حال، به دلیل نقص در قرارداد، مهاجم توانست به صورت دستی پارامترها را تغییر دهد و این تصور را ایجاد کند که کل استخر نقدینگی کارمزد تراکنش جمعآوری شده است. این به مهاجم اجازه می دهد تا تمام وجوه را برداشت کند. پس از برداشت وجوه، مهاجم میتوانست آنها را به صورت دستی با توکنهای دیگر مبادله کند و درآمد حاصل از آن را به کیف پولهای دیگر تحت کنترل مهاجم منتقل کند.
مربوط: توسعه دهنده می گوید پروژه ها از پرداخت پاداش به هکرهای کلاه سفید خودداری می کنند
در پاسخ به این اکسپلویت، تیم قراردادهای هوشمند برنامه را ارتقا داد تا کنترل مدیریت بر پارامترهای مورد سوء استفاده مهاجم را حذف کند.
در پست انجمن 21 دسامبر، توسعه دهندگان طرحی را برای جبران خسارت قربانیان حمله پیشنهاد کردند. این تیم از توکن های RAY آنلاک شده خود برای جبران خسارت دارندگان RAY که توکن های خود را به دلیل حمله از دست داده اند استفاده می کند. او درخواست گفتوگوی انجمنی درباره نحوه اجرای طرح جبران خسارت با استفاده از خزانه DAO برای خرید توکنهای غیرRAY از دست رفته کرد. تیم درخواست یک بحث سه روزه برای حل و فصل موضوع را دارد.
هک 2 میلیون دلاری Raydium برای اولین بار در 16 دسامبر کشف شد. گزارش های اولیه حاکی از آن است که مهاجم از تابع draw_pnl برای استخراج نقدینگی از استخرها بدون واریز توکن های LP استفاده کرده است. با این حال، از آنجایی که این عملکرد فقط باید به مهاجم اجازه دهد تا کارمزد تراکنش را حذف کند، روش واقعی که توسط آن میتوانست کل استخرها را خالی کند، تا زمانی که تحقیقات انجام نشود، ناشناخته بود.
نویسنده: Tom Blackstone
