Raydium төвлөрсөн бус биржийн (DEX) цаад баг нь 16-р сарын XNUMX-ны хакердах ажиллагаа хэрхэн болсон талаар дэлгэрэнгүй мэдээлэл хийж, хохирогчдын хохирлыг барагдуулах саналыг санал болгов.
Тус багийн албан ёсны форумын нийтлэлд дурдсанаар, хакер 2 сая гаруй долларын криптографын хулгай хийж чадсан байна. ашиглах DEX-ийн ухаалаг гэрээн дэх эмзэг байдал нь ийм үйлдлээс урьдчилан сэргийлэхийн тулд одоо байгаа хамгаалалтуудыг үл харгалзан админууд хөрвөх чадварын санг бүхэлд нь эргүүлэн татах боломжийг олгосон.
Тус баг нь RAY гэгддэг Raydium жетоноо алдсан хохирогчдод нөхөн төлбөр олгохын тулд өөрийн түгжээгүй жетоныг ашиглана. Гэсэн хэдий ч хөгжүүлэгчид хохирогчдын хохирлыг барагдуулах stablecoin болон бусад RAY бус жетонгүй тул RAY эзэмшигчдээс төвлөрсөн бус автономит байгууллагын (DAO) төрийн сангаас дутсан жетоныг худалдан авч, хохирсон хүмүүст нөхөн төлбөр олгохын тулд санал өгөхийг хүсч байна. ашиглах.
1/ Сүүлийн үеийн мөлжлөгийн хөрөнгийг нөхөн сэргээх тухай мэдээлэл
Юуны өмнө, өнөөг хүртэл тэвчээртэй байсан бүх хүмүүст баярлалаа
Цаашид гарах арга замын анхны саналыг хэлэлцэхээр байршуулсан. Raydium нь саналын талаархи бүх санал хүсэлтийг дэмжиж, талархаж байна.https://t.co/NwV43gEuI9
- Raydium (@RaydiumProtocol) Арванхоёрдугаар сар 21, 2022
Тусдаа задлан шинжилгээний тайланд дурдсанаар халдлага үйлдэгчийн эхний алхам нь мөлжлөгт орох явдал байв олз админ сангийн хувийн түлхүүрийг хянах. Тус багийнхан энэ түлхүүрийг хэрхэн олж авсныг мэдэхгүй ч түлхүүрийг барьж байсан виртуал машин нь троян програмаар халдварласан гэж сэжиглэж байна.
Халдагчид түлхүүртэй болмогц тэд RAY-ийг эргүүлэн худалдаж авахад ашиглахын тулд DAO-ийн төрийн санд орох гүйлгээний шимтгэлийг буцаан авах функцийг дуудсан. Raydium дээр своп хийх үед гүйлгээний шимтгэл автоматаар төрийн санд ордоггүй. Харин тэд админ татан авах хүртэл хөрвөх чадвар нийлүүлэгчийн санд үлдэнэ. Гэсэн хэдий ч ухаалаг гэрээ нь DAO-д төлөх төлбөрийн хэмжээг параметрүүдээр дамжуулан бүртгэдэг. Энэ нь халдагчид хамгийн сүүлд татан авалт хийснээс хойш усан сан бүрт хийгдсэн нийт арилжааны 0.03% -иас илүүг эргүүлэн татахаас урьдчилан сэргийлэх ёстой.
Гэсэн хэдий ч гэрээнд алдаа гарсны улмаас халдагч параметрүүдийг гараар өөрчлөх боломжтой болсон нь хөрвөх чадварын сан бүхэлдээ гүйлгээний хураамж цуглуулсан мэт харагдлаа. Энэ нь халдагчдад бүх мөнгөө эргүүлэн татах боломжийг олгосон. Мөнгө татан авсны дараа халдагчид гараараа бусад жетоноор сольж, орлогыг халдагчийн хяналтан дор бусад түрийвч рүү шилжүүлэх боломжтой болсон.
Холбогдох: Хөгжүүлэгчийн хэлснээр төслүүд нь цагаан малгайт хакеруудад шагнал өгөхөөс татгалзаж байна
Ашиглалтын хариуд тус баг халдагчийн ашигласан параметрүүдийг админы хяналтаас хасахын тулд програмын ухаалаг гэрээг сайжруулсан.
Арванхоёрдугаар сарын 21-ний форумын нийтлэлд хөгжүүлэгчид халдлагын хохирогчдод нөхөн төлбөр олгох төлөвлөгөөг санал болгосон. Тус баг нь халдлагын улмаас жетоноо алдсан RAY эзэмшигчдэд нөхөн төлбөр олгохын тулд өөрийн түгжээгүй RAY жетоныг ашиглана. Энэ нь алдагдсан RAY бус жетонуудыг худалдан авахад DAO-ийн төрийн санг ашиглан нөхөн олговрын төлөвлөгөөг хэрхэн хэрэгжүүлэх талаар форум хэлэлцүүлэг хийхийг хүссэн. Асуудлыг шийдвэрлэхийн тулд гурван өдрийн турш хэлэлцүүлэг өрнүүлэхийг багийнхан хүсч байна.
2 сая долларын Raydium хакердсан анх илрүүлсэн Арванхоёрдугаар сарын 16-нд. Халдагчид LP жетон байршуулалгүйгээр усан сангаас хөрвөх чадварыг арилгахын тулд withdraw_pnl функцийг ашигласан гэж эхний мэдээлсэн байна. Гэхдээ энэ функц нь халдагчдад гүйлгээний хураамжийг арилгахыг л зөвшөөрөх ёстой байсан тул тэд бүх усан санг гадагшлуулах бодит арга нь мөрдөн байцаалт явуулсны дараа мэдэгдээгүй байв.
Эх сурвалж: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims