JAKARTA - Tim di belakang Raydium Decentralized Exchange (DEX) telah mengumumkan detail bagaimana peretasan pada 16 Desember terjadi dan menawarkan proposal untuk memberikan kompensasi kepada para korban peretasan.
Menurut posting forum resmi dari tim, peretas dapat menghasilkan lebih dari 2 juta dolar AS (Rp31,2 miliar) dana jarahan kripto dengan mengeksploitasi kerentanan dalam kontrak pintar DEX yang memungkinkan seluruh kumpulan likuiditas ditarik oleh admin, meskipun ada perlindungan yang mencegah perilaku seperti itu.
Tim akan menggunakan tokennya yang tidak terkunci untuk memberikan kompensasi kepada korban yang kehilangan token Raydium, juga dikenal sebagai RAY. Namun, pengembang tidak memiliki stablecoin dan token non-RAY lainnya untuk memberi kompensasi kepada para korban, sehingga meminta pemungutan suara dari pemegang RAY untuk menggunakan perbendaharaan organisasi otonom terdesentralisasi (DAO) untuk membeli token yang hilang guna membayar mereka yang terkena dampak eksploitasi.
1/ Update on remediation of funds for recent exploit
First, thanks for everyone's patience up to now
An initial proposal on a way forward has been posted for discussion. Raydium encourages and appreciates all feedback on the proposal.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) December 21, 2022
Menurut laporan post-mortem terpisah, langkah pertama penyerang dalam mengeksploitasi adalah untuk mendapatkan kendali atas kunci pribadi kumpulan admin. Tim tidak mengetahui bagaimana kunci ini diperoleh, tetapi diduga mesin virtual yang menyimpan kunci tersebut terinfeksi program trojan.
Setelah penyerang memiliki kuncinya, mereka memanggil fungsi untuk menarik biaya transaksi yang biasanya masuk ke perbendaharaan DAO untuk digunakan untuk pembelian kembali RAY.
Di Raydium, biaya transaksi tidak secara otomatis masuk ke bendahara pada saat penukaran. Sebaliknya, mereka tetap berada di kumpulan penyedia likuiditas hingga ditarik oleh admin. Namun, smart contract melacak jumlah biaya yang terutang ke DAO melalui parameter.
Ini seharusnya mencegah penyerang untuk dapat menarik lebih dari 0,03% dari total volume perdagangan yang telah terjadi di setiap kumpulan sejak penarikan terakhir.
Namun demikian, karena cacat dalam kontrak, penyerang dapat mengubah parameter secara manual, sehingga tampak bahwa seluruh kumpulan likuiditas adalah biaya transaksi yang telah terkumpul. Ini memungkinkan penyerang untuk menarik semua dana.
Setelah dana ditarik, menurut laporan Cointelegraph, penyerang dapat menukarnya secara manual dengan token lain dan mentransfer hasilnya ke dompet lain di bawah kendali penyerang.
Menanggapi eksploit tersebut, tim telah mengupgrade kontrak cerdas aplikasi untuk menghapus kontrol admin atas parameter yang dieksploitasi oleh penyerang.
BACA JUGA:
Dalam posting forum 21 Desember, para pengembang mengusulkan rencana untuk memberi kompensasi kepada para korban serangan itu. Tim akan menggunakan token RAY yang tidak terkunci untuk mengkompensasi pemegang RAY yang kehilangan token mereka karena serangan itu.
Mereka telah meminta diskusi forum tentang bagaimana menerapkan rencana kompensasi menggunakan perbendaharaan DAO untuk membeli token non-RAY yang telah hilang. Tim meminta diadakannya diskusi selama tiga hari untuk memutuskan masalah tersebut.
Peretasan Raydium senilai 2 juta dolar AS pertama kali ditemukan pada 16 Desember. Laporan awal mengatakan bahwa penyerang telah menggunakan fungsi withdraw_pnl untuk menghapus likuiditas dari kumpulan tanpa menyetorkan token LP. Tetapi karena fungsi ini seharusnya hanya memungkinkan penyerang untuk menghapus biaya transaksi, metode sebenarnya yang dapat mereka gunakan untuk menguras seluruh kumpulan tidak diketahui sampai penyelidikan dilakukan.