Raydium 去中心化交易所 (DEX) 背後的團隊公佈了 16 月 XNUMX 日黑客攻擊事件的詳細信息,並提出了補償受害者的建議。
根據該團隊的官方論壇帖子,黑客能夠通過以下方式竊取超過 2 萬美元的加密戰利品 利用 DEX 智能合約中的一個漏洞允許管理員撤回整個流動資金池,儘管現有的保護措施是為了防止這種行為。
該團隊將使用自己解鎖的代幣來補償丟失 Raydium 代幣(也稱為 RAY)的受害者。 然而,開發商沒有穩定幣和其他非 RAY 代幣來補償受害者,因此它要求 RAY 持有者投票使用去中心化自治組織 (DAO) 國庫購買丟失的代幣以償還受到影響的人開發。
1/ 近期漏洞利用資金補救更新
首先感謝大家一直以來的耐心等待
關於前進方向的初步提案已發布以供討論。 Raydium 鼓勵並感謝對該提案的所有反饋。https://t.co/NwV43gEuI9
- Raydium(@RaydiumProtocol) 2022 年 12 月 21 日
根據另一份事後分析報告,攻擊者利用漏洞的第一步是 獲得 管理池私鑰的控制。 該團隊不知道該密鑰是如何獲得的,但懷疑持有該密鑰的虛擬機感染了木馬程序。
一旦攻擊者獲得了密鑰,他們就會調用一個函數來提取交易費用,這些費用通常會進入 DAO 的金庫,用於回購 RAY。 在 Raydium 上,交易費用不會在交換時自動進入國庫。 相反,它們保留在流動性提供者的池中,直到被管理員撤回。 然而,智能合約通過參數跟踪欠 DAO 的費用金額。 這應該可以防止攻擊者提取超過自上次提取以來每個池中發生的總交易量的 0.03%。
然而,由於合約存在缺陷,攻擊者能夠手動更改參數,從而使整個流動資金池看起來都是已收取的交易費用。 這允許攻擊者提取所有資金。 一旦資金被提取,攻擊者就能夠手動將它們換成其他代幣,並將收益轉移到攻擊者控制下的其他錢包。
相關新聞: 開發商表示項目拒絕向白帽黑客支付賞金
作為對該漏洞的響應,該團隊升級了該應用程序的智能合約,以消除管理員對攻擊者利用的參數的控制。
在 21 月 XNUMX 日的論壇帖子中,開發人員提出了一項補償攻擊受害者的計劃。 團隊將使用自己解鎖的 RAY 代幣補償因攻擊而丟失代幣的 RAY 持有者。 它要求就如何使用 DAO 的金庫購買丟失的非 RAY 代幣實施補償計劃進行論壇討論。 該團隊要求進行為期三天的討論來決定這個問題。
價值 2 萬美元的 Raydium 黑客攻擊是 首先被發現 16 月 XNUMX 日。初步報告稱,攻擊者使用 withdraw_pnl 函數在不存入 LP 代幣的情況下從池中移除流動性。 但由於此功能本應只允許攻擊者移除交易費用,因此他們耗盡整個礦池的實際方法直到進行調查後才為人所知。
來源:https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims