Харгис, шийдэмгий халдагч Raydium Liquidity Pool V4-ийн эрх мэдлийн дансыг ашиглан зохисгүй үйлдэл хийсэн. Гэсэн хэдий ч, энэ нь Усан сангийн эзэн эсвэл захиргааны данстай холбогдож болно. Гэхдээ усан сангийн эзэмшигчийн дансны хувилбарт энэ нь эхлээд тодорхой дотоод сервер бүхий виртуал машин дээр байрладаг.
Одоогоор цуглуулсан бүх баримтыг үл харгалзан тухайн дансыг залилсан бүх боломжит шалтгааныг тайлах зорилготой, дотоод аюулгүй байдлын аудит хийгдэж байна. Гэсэн хэдий ч энэ хэргийн үнэн бодит баримт хэвээр байгаа бөгөөд энэ нь санамсаргүйгээр илүү сайн, илүү тодорхой ойлголт болж хувирах хэргийг зохих ёсоор задлах шаардлагатай хэвээр байна.
Гэсэн хэдий ч үл мэдэгдэх бүх параметрүүдийг авч үзвэл халдагчид Raydium дээрх найман байнгын бүтээгдэхүүний хөрвөх чадварын санд сөргөөр нөлөөлж чадсан нь тодорхой байна. Гэсэн хэдий ч энэ нь ойролцоогоор 4.4 сая долларын хөрөнгө хулгайлсан байна. Үүнээс гадна, хэмнэлтийн ач ивээл нь Raydium дээрх өөр ямар ч сан эсвэл санд ямар нэгэн хууль бус зарцуулалтыг гэрчилж байгаагүй явдал юм.
Халдагчид Радиумыг ашиглахдаа үндсэн хоёр аргыг ашигласан. Нэг арга нь халдагчид сан хөмрөгөөс хураамж хэлбэрээр мөнгө татахын тулд withdrawPNL зааврын давуу талыг ашиглах явдал байв. Хоёрдахь тохиолдолд халдагчид хүлээгдэж буй хураамжийг өөрчлөх, нэмэгдүүлэхийн тулд SetParams зааварчилгааг ашигласан бөгөөд ингэснээр сан хөмрөгөөс мөнгөө татсан.
Radiyum нь халдагчийг зогсоохын тулд өмнөх дансны эрх мэдлийг хүчингүй болгоход тусалсан халуун нөхөөсийг байрлуулж, шинэ данс руу шинэчилсэн. Энэ тохиолдолд нөхөөс нь халдагчийн эрх мэдлийг хүчингүй болгож, сангуудыг цаашид буруугаар ашиглахаас сэргийлсэн. Эхний алхмуудыг хийсний дараа уг программыг Squads multisig-ийн тусламжтайгаар сайжруулж, санд нөлөөлж буй удирдлагын хүсээгүй параметрүүдийг устгасан.
Цаашилбал, устгасан параметрүүдийн зарим нь AmmParams::MinSize, AmmParams::SetLpSupply,AmmParams::SyncNeedTake болон AmmParams::SyncLp юм.
Бүх админ параметрүүд нь одоогоор программыг шинэчлэхэд ашиглагдаж байгаа multisig-д зохих ёсоор шинэчлэгдсэн. Цаашдын хамгаалалтын хувьд Radyium нь хэрэглэгчийн LP-ийн үлдэгдлийн санд зүй бусаар зарцуулсан нөлөөг ойлгох шатандаа явж байна. Нэмж дурдахад, мөнгө буцаах арга замыг тодорхойлохын зэрэгцээ халдагчийн түрийвчийг хянаж байна. Түвшинтэй холбоотой асуудлаар Радиум зарим Солана баг, гуравдагч талын аудиторууд болон төвлөрсөн солилцооны тусламжийг авч байна. Мөнгө буцааж өгөхийн оронд 3% шагналыг санал болгож байна.
Эх сурвалж: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/