雅加达 - Raydium去中心化交易所(DEX)背后的团队宣布了12月16日黑客攻击如何发生的细节,并提出了赔偿黑客攻击受害者的建议。
根据该团队的官方论坛帖子,黑客可以通过利用 DEX 智能合约中的漏洞产生超过 200 万美元(312 亿印尼盾)的加密战利品资金,该漏洞允许管理员提取整个流动性池,尽管有防止此类行为的保护措施。
该团队将使用其解锁的代币来补偿丢失 Raydium 代币(也称为 RAY)的受害者。但是,开发人员不拥有稳定币和其他非RAY代币来补偿受害者,因此要求RAY持有者投票使用去中心化自治组织(DAO)的国库购买丢失的代币,以支付受漏洞影响的人。
1/ 最近利用资金修复的最新情况 首先,感谢大家到目前为止的耐心等待,关于前进方向的初步建议已经发布以供讨论。Raydium鼓励并感谢对该提案的所有反馈.https://t.co/NwV43gEuI9
— 雷迪姆 (@RaydiumProtocol) 2022 年 12 月 21 日
根据另一份事后分析报告,攻击者利用的第一步是控制管理池的私钥。该团队不知道此密钥是如何获得的,但怀疑存储密钥的虚拟机感染了特洛伊木马程序。
一旦攻击者获得密钥,他们就会调用一个函数来吸引交易费用,这些费用通常会进入 DAO 金库用于光线回购。
在Raydium中,交易费用不会在赎回时自动归财务主管所有。相反,它们保留在流动性提供者池中,直到管理员撤回为止。但是,智能合约通过参数跟踪欠DAO的费用金额。
这应该可以防止攻击者能够提取自上次回撤以来每个池中发生的总交易量的 0.03% 以上。
然而,由于合约中的缺陷,攻击者可以手动更改参数,使整个流动性池看起来都是已经积累的交易费用。这允许攻击者提取所有资金。
根据Cointelegraph的报告,一旦资金被提取,攻击者可以手动将它们兑换成另一个代币, 并将收益转移到攻击者控制下的另一个钱包。
为了应对这一漏洞,该团队升级了应用程序的智能合约,以删除对攻击者利用的参数的管理员控制。
在 12 月 21 日的论坛帖子中,开发人员提出了一项补偿攻击受害者的计划。该团队将使用解锁的 RAY 代币来补偿因攻击而丢失代币的 RAY 持有者。
他们要求论坛讨论如何使用 DAO 金库实施补偿计划来购买丢失的非 RAY 代币。该小组要求进行为期三天的讨论以决定此事。
Raydium的200万美元黑客攻击于12月16日首次被发现。最初的报道称,攻击者使用withdraw_pnl功能从池中移除流动性,而无需存入LP代币。但是,由于此功能应该只允许攻击者删除交易费用,因此在执行调查之前,他们可以用来耗尽整个池的实际方法是未知的。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
