א ראָצכיש און פיל-באשלאסן אַטאַקער אַקטאַד ינאַפּראָופּרייטלי ניצן די Raydium Liquidity Pool V4 ס אויטאָריטעט חשבון. אָבער, דאָס איז אַטשיווד דורך קאַנעקטינג מיט די בעקן באַזיצער אָדער די אַדמיניסטראַציע חשבון. אין דעם פאַל סצענאַר פון די בעקן באַזיצער חשבון, אָבער, עס איז געווען ערידזשנאַלי פּאַזישאַנד אויף אַ ווירטואַל מאַשין מיט אַ ספּעציפיש ינערלעך סערווער.
טראָץ אַלע די איצט פארזאמלט Facts, עס איז איצט דורכגעקאָכט אַן ינערלעך זיכערהייט קאָנטראָלירן מיט דער ציל און כוונה צו פּרובירן צו דיסייפער אַלע די מעגלעך סיבות הינטער די מאַניפּיאַליישאַן פון דעם חשבון אין קשיא. אָבער, דער אמתער פאַקט פון דער ענין שטייט נאָך מיט דעם וויסן אַז עס איז נאָך צו זיין אַ געהעריק אַנטפּלעקונג פון דעם פאַל, וואָס וועט אומגליקלעך יבערקערן אין אַ בעסער און קלאָרער פארשטאנד.
אָבער, קאַנסידערינג אַלע די אומבאַקאַנט פּאַראַמעטערס, וואָס איז קלאָר איז אַז די אַטאַקער איז ביכולת צו ווירקן אַכט קעסיידערדיק פּראָדוקט ליקווידיטי פּאָאָלס אויף Raydium אַדווערסלי. אָבער, דאָס ריזאַלטיד אין אַרום $ 4.4 מיליאָן ווערט פון סטאָלען געלט. אויסערדעם, די שפּאָרן חן איז אַז קיין אנדערע בעקן אָדער געלט אויף Raydium וויטנאַסט קיין מיסאַפּראָופּרייישאַן.
דער אַטאַקער געניצט צוויי יקערדיק מעטהאָדס אין די עקספּלויטיישאַן פון די ראַדייום. איין וועג איז געווען ווען די אַטאַקער קען נוצן די פאַנגקשאַנינג פון די ווידדראָפּנל לימעד צו צוריקציען געלט, מער אין די פאָרעם פון פיז, פון די בעקן וואָלט. אין די רגע בייַשפּיל, די אַטאַקער געניצט די SetParams לימעד פֿאַר טשאַנגינג און ינקריסינג די דערוואַרט פיז, און דערמיט צוריקציען די געלט פון די בעקן וואָלט.
ראדיום, פון איר זייט, צו אפשטעלן דעם אטאקע, האט פאזיציירט א הייסע פאטש וואס האט געהאלפן אפצושלעפן די אויטאריטעט פונעם פריערדיגן אקאונט, און עס אפדעיטירט צו א נייעם אקאונט. די לאַטע, אין דעם פאַל סצענאַר, נאַלאַפייד די אויטאָריטעט פון די אַטאַקער, פּרעווענטינג קיין ווייַטער מיסיוטאַליזיישאַן פון די פּאָאָלס.נאָך די ערשט סטעפּס, די פּראָגראַם איז אַוואַנסירטע מיט די הילף פון סקוואַדס מולטיסיג צו באַזייַטיקן אַנוואָנטיד אַדמיניסטראַציע פּאַראַמעטערס וואָס ווירקן געלט.
דערצו, עטלעכע פון די פּאַראַמעטערס וואָס זענען אַוועקגענומען זענען AmmParams::MinSize, AmmParams::SetLpSupply,AmmParams::SyncNeedTake און AmmParams::SyncLp.
אַלע אַדמיניסטראַטאָר פּאַראַמעטערס זענען דערהייַנטיקט צו די מולטיסיג סקוואַדז, וואָס איז איצט געניצט פֿאַר אַפּגריידינג מגילה. ווי ווייַטער שוץ, Radyium איז אין דעם פּראָצעס פון פארשטאנד די ווירקונג פון די מיסאַפּראָופּרייישאַן אויף די פּאָאָלס פֿאַר באַניצער לפּ באַלאַנסעס. אַדדיטיאָנאַללי, אַטאַקער וואָלאַץ זענען אויך טראַקט בשעת סקאָרינג וועגן צו צוריקקומען געלט. פֿאַר ווייַטער מדרגה ענינים, Radyium נעמט די הילף פון עטלעכע סאָלאַנאַ טימז, 3rd פּאַרטיי אַדאַטערז און סענטראַלייזד יקסטשיינדזשיז. א 10% ברייטהאַרציקייַט איז אויך געפֿינט אין פּלאַץ פון צוריקקומען געלט.
מקור: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/