جاكرتا - أعلن الفريق الذي يقف وراء Raydium DecentralExchange (DEX) تفاصيل حول كيفية حدوث الاختراق في 16 ديسمبر وقدم اقتراحا لتعويض ضحايا الاختراق.
وفقا لمنشور رسمي في المنتدى من الفريق ، يمكن للقراصنة توليد أكثر من مليوني دولار أمريكي (31.2 مليار روبية إندونيسية) من أموال نهب العملات المشفرة من خلال استغلال ثغرة أمنية في عقود DEX الذكية التي تسمح بسحب مجمع السيولة بالكامل من قبل المسؤولين ، على الرغم من الحماية التي تمنع مثل هذا السلوك.
سيستخدم الفريق الرموز المميزة غير المؤمنة لتعويض الضحايا الذين فقدوا رموز Raydium ، والمعروفة أيضا باسم RAY. ومع ذلك ، لا يمتلك المطور عملات مستقرة وغيرها من الرموز غير RAY لتعويض الضحايا ، وبالتالي يطلب تصويتا من حاملي RAY لاستخدام خزينة منظمة مستقلة لامركزية (DAO) لشراء الرموز المفقودة لدفع المتضررين من الاستغلال.
1 / تحديث حول معالجة الأموال للاستغلال الأخير أولا ، شكرا على صبر الجميع حتى الآنتم نشر اقتراح أولي حول طريقة المضي قدما للمناقشة. تشجع ريديوم وتقدر جميع الملاحظات على الاقتراح.https://t.co/NwV43gEuI9
- ريديوم (@RaydiumProtocol) 21 ديسمبر 2022
وفقا لتقرير منفصل بعد الوفاة ، فإن الخطوة الأولى للمهاجم في الاستغلال هي التحكم في المفاتيح الخاصة لتجمع المسؤولين. الفريق غير مدرك لكيفية الحصول على هذا المفتاح ، ولكن يشتبه في أن الجهاز الظاهري الذي يخزن المفتاح كان مصابا ببرنامج حصان طروادة.
بمجرد أن يحصل المهاجم على المفتاح ، فإنهم يسمون وظيفة لجذب رسوم المعاملات التي عادة ما تذهب إلى خزانة DAO لاستخدامها في عمليات إعادة شراء الأشعة.
في Raydium ، لا تذهب رسوم المعاملات تلقائيا إلى أمين الصندوق في وقت الاسترداد. بدلا من ذلك ، يظلون في مجموعة مزودي السيولة حتى يتم سحبهم من قبل المسؤول. ومع ذلك ، فإن العقود الذكية تتبع مقدار الرسوم المستحقة ل DAO من خلال المعلمات.
يجب أن يمنع هذا المهاجمين من القدرة على سحب أكثر من 0.03٪ من إجمالي حجم التداول الذي حدث في كل تجمع منذ التراجع الأخير.
ومع ذلك ، نظرا للعيوب في العقد ، يمكن للمهاجم تغيير المعلمات يدويا ، مما يجعل الأمر يبدو أن مجمع السيولة بالكامل هو رسوم المعاملة التي تم تجميعها. هذا يسمح للمهاجم بسحب جميع الأموال.
وبمجرد سحب الأموال، وفقا لتقرير كوينتيليغراف، يمكن للمهاجم استبدالها يدويا برمز مميز آخر وتحويل العائدات إلى محفظة أخرى تحت سيطرة المهاجم.
استجابة للاستغلال ، قام الفريق بترقية العقد الذكي للتطبيق لإزالة تحكم المسؤول في المعلمات التي يستغلها المهاجمون.
في منشور على المنتدى في 21 ديسمبر ، اقترح المطورون خطة لتعويض ضحايا الهجوم. سيستخدم الفريق رموز RAY غير المؤمنة لتعويض حاملي RAY الذين فقدوا رموزهم بسبب الهجوم.
لقد طلبوا مناقشات المنتدى حول كيفية تنفيذ خطة تعويض باستخدام خزانة DAO لشراء رموز غير RAY التي فقدت. وطلب الفريق إجراء مناقشة لمدة ثلاثة أيام للبت في المسألة.
تم اكتشاف اختراق Raydium بقيمة 2 مليون دولار لأول مرة في 16 ديسمبر. ذكرت التقارير الأولية أن المهاجمين استخدموا وظيفة withdraw_pnl لإزالة السيولة من المجمع دون إيداع رموز LP. ولكن نظرا لأنه من المفترض أن تسمح هذه الوظيفة للمهاجمين فقط بإزالة رسوم المعاملات ، فإن الطريقة الفعلية التي يمكنهم استخدامها لاستنزاف المجموعة بأكملها غير معروفة حتى يتم إجراء تحقيق.
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
العلامات الأكثر شيوعًا
#Prabowo Subianto #جولكار #انتخابات جاكرتا #المقامرة عبر الإنترنت #Mount Lewotobi maleجمع
