D'Team hannert dem Raydium dezentraliséierten Austausch (DEX) huet Detailer ugekënnegt wéi den Hack vum 16. Dezember geschitt ass an eng Propositioun ugebueden fir d'Affer ze kompenséieren.
Laut engem offiziellen Forum Post vun der Equipe konnt den Hacker mat iwwer $ 2 Milliounen u Krypto-Loot ofginn verwinnt eng Schwachstelle an de Smart Kontrakter vun der DEX, déi et erlaabt hunn, datt ganz Liquiditéitspools vun den Administrateuren zréckgezunn sinn, trotz existente Schutz fir esou Verhalen ze vermeiden.
D'Team wäert seng eege opgehuewe Token benotzen fir Affer ze kompenséieren déi Raydium Tokens verluer hunn, och bekannt als RAY. Wéi och ëmmer, den Entwéckler huet net de Stablecoin an aner net-RAY Tokens fir d'Affer ze kompenséieren, sou datt et e Vote vun de RAY Inhaber freet fir d'dezentraliséiert autonom Organisatioun (DAO) Schatzkammer ze benotzen fir déi fehlend Tokens ze kafen fir déi, déi vun der betraff sinn, zréckzebezuelen. exploitéieren.
1/ Update iwwer Sanéierung vu Fongen fir rezent Ausbeutung
Éischtens, Merci fir jiddereen seng Gedold bis elo
Eng initial Propositioun iwwer e Wee no vir ass fir Diskussioun gepost ginn. Raydium encouragéiert a schätzt all Feedback iwwert d'Propositioun.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) Dezember 21, 2022
Laut engem getrennten Post-mortem-Rapport war den Ugräifer säin éischte Schrëtt am Exploit gewannen Kontroll vun engem Admin Pool private Schlëssel. D'Team weess net wéi dëse Schlëssel kritt gouf, awer et verdächtegt datt déi virtuell Maschinn déi de Schlëssel gehal huet mat engem Trojanesche Programm infizéiert ass.
Wann den Ugräifer de Schlëssel hat, hunn se eng Funktioun genannt fir Transaktiounsgebühren zréckzezéien, déi normalerweis an d'DaO-Schatzkammer géife fir de RAY-Backup benotzt ginn. Op Raydium ginn Transaktiounsfraise net automatesch an d'Schatzkammer am Moment vun engem Swap. Amplaz bleiwen se am Liquiditéitsprovider Pool bis se vun engem Administrateur zréckgezunn sinn. Wéi och ëmmer, de Smart Kontrakt hält d'Quantitéit vun de Fraisen, déi dem DAO schëlleg sinn, duerch Parameteren. Dëst sollt verhënnert hunn datt den Ugräifer méi wéi 0.03% vum Gesamthandelsvolumen zréckzéien, deen an all Pool zënter dem leschte Réckzuch geschitt ass.
Trotzdem, wéinst engem Feeler am Kontrakt, konnt den Ugräifer d'Parameter manuell änneren, sou datt et schéngt datt de ganze Liquiditéitspool Transaktiounsfraise waren, déi gesammelt goufen. Dëst huet den Ugräifer erlaabt all d'Fongen zréckzéien. Wann d'Fongen zréckgezunn sinn, konnt den Ugräifer se manuell fir aner Tokens austauschen an den Erléis op aner Portemonnaie ënner der Kontroll vum Ugräifer transferéieren.
Verbonnen: Entwéckler seet datt Projete refuséieren Bounties un White Hat Hacker ze bezuelen
Als Äntwert op den Ausbeutung huet d'Team d'Smart Kontrakter vun der App aktualiséiert fir d'Admin Kontroll iwwer d'Parameteren ze läschen, déi vum Ugräifer exploitéiert goufen.
Am Dezember 21 Forum Post, hunn d'Entwéckler e Plang proposéiert fir d'Affer vum Attack ze kompenséieren. D'Team wäert seng eege opgehuewe RAY Tokens benotzen fir RAY Halter ze kompenséieren déi hir Tokens wéinst der Attack verluer hunn. Et huet gefrot fir eng Forumdiskussioun iwwer wéi een e Kompensatiounsplang implementéiert mat der Schatzkammer vum DAO fir net-RAY Tokens ze kafen déi verluer sinn. D'Equipe freet fir eng dräi Deeg Diskussioun fir d'Thema ze entscheeden.
Den $ 2 Milliounen Raydium Hack war éischt entdeckt den 16. Dezember Ufanksberichter soten datt den Ugräifer d'Funktioun withdraw_pnl benotzt huet fir Liquiditéit aus Poolen ze läschen ouni LP Tokens ze deposéieren. Awer well dës Funktioun den Ugräifer nëmmen erlaabt hätt Transaktiounsgebühren ze läschen, war déi tatsächlech Method, duerch déi se ganz Poole konnten drainéieren, net bekannt bis no enger Enquête gemaach gouf.
Quell: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims