הצוות מאחורי הבורסה המבוזרת Raydium (DEX) הכריז על פרטים כיצד התרחשה הפריצה ב-16 בדצמבר והציע הצעה לפצות את הקורבנות.
על פי פוסט רשמי בפורום של הצוות, ההאקר הצליח להסתדר עם שלל קריפטו של למעלה מ-2 מיליון דולר על ידי מנצל פגיעות בחוזים החכמים של DEX שאפשרה משיכת מאגרי נזילות שלמים על ידי מנהלים, למרות שההגנות הקיימות נועדו למנוע התנהגות כזו.
הצוות ישתמש באסימונים לא נעולים משלו כדי לפצות את הקורבנות שאיבדו אסימוני Raydium, הידועים גם בשם RAY. עם זאת, למפתח אין את ה-stablecoin ואסימונים אחרים שאינם RAY כדי לפצות את הקורבנות, ולכן הוא מבקש הצבעה מבעלי RAY להשתמש באוצר הארגון האוטונומי המבוזר (DAO) כדי לקנות את האסימונים החסרים כדי להחזיר לאלו שנפגעו מה- לְנַצֵל.
1/ עדכון על תיקון כספים לניצול אחרון
ראשית, תודה על הסבלנות של כולם עד עכשיו
הצעה ראשונית לדרך קדימה פורסמה לדיון. Raydium מעודד ומעריך את כל המשוב על ההצעה.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) דצמבר 21, 2022
לפי דוח נפרד שלאחר המוות, הצעד הראשון של התוקף בניצול היה לעשות לְהַשִׂיג שליטה במפתח פרטי של מאגר ניהול. הצוות אינו יודע כיצד המפתח הזה הושג, אך הוא חושד שהמכונה הוירטואלית שהחזיקה את המפתח נדבקה בתוכנית טרויאנית.
ברגע שלתוקף היה את המפתח, הם קראו לפונקציה למשיכת עמלות עסקה שבדרך כלל היו עוברות לאוצר ה-DAO כדי לשמש לרכישה חוזרת של RAY. ב-Raydium, עמלות העסקה לא עוברות אוטומטית לאוצר ברגע ההחלפה. במקום זאת, הם נשארים במאגר של ספק הנזילות עד לביטולם על ידי מנהל. עם זאת, החוזה החכם עוקב אחר סכום העמלות המגיעות ל-DAO באמצעות פרמטרים. זה היה אמור למנוע מהתוקף למשוך יותר מ-0.03% מנפח המסחר הכולל שהתרחש בכל מאגר מאז המשיכה האחרונה.
אף על פי כן, בגלל פגם בחוזה, התוקף הצליח לשנות את הפרמטרים באופן ידני, מה שגרם לכך שנראה שכל מאגר הנזילות היה עמלות עסקה שנגבו. זה איפשר לתוקף למשוך את כל הכספים. לאחר שהכספים נמשכו, התוקף הצליח להחליף אותם באופן ידני באסימונים אחרים ולהעביר את ההכנסות לארנקים אחרים בשליטת התוקף.
מידע נוסף: מפתח אומר שפרויקטים מסרבים לשלם פרסים להאקרים עם כובע לבן
בתגובה לניצול, הצוות שדרג את החוזים החכמים של האפליקציה כדי להסיר את בקרת המנהל על הפרמטרים שניצלו על ידי התוקף.
בפוסט בפורום ב-21 בדצמבר הציעו היזמים תוכנית לפיצוי קורבנות התקיפה. הצוות ישתמש באסימוני RAY לא נעולים משלו כדי לפצות את מחזיקי RAY שאיבדו את האסימונים שלהם עקב המתקפה. היא ביקשה לקיים דיון בפורום כיצד ליישם תוכנית פיצוי באמצעות האוצר של ה-DAO לרכישת אסימונים שאינם RAY שאבדו. הצוות מבקש לקיים דיון בן שלושה ימים כדי להכריע בסוגיה.
פריצת Raydium בסך 2 מיליון דולר הייתה התגלה לראשונה ב-16 בדצמבר. דיווחים ראשוניים אמרו כי התוקף השתמש בפונקציה withdraw_pnl כדי להסיר נזילות ממאגרים מבלי להפקיד אסימוני LP. אך מכיוון שפונקציה זו הייתה אמורה לאפשר לתוקף להסיר עמלות עסקה בלבד, השיטה בפועל שבה הם יכולים לנקז מאגרים שלמים לא הייתה ידועה אלא לאחר שנערכה חקירה.
מקור: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims