די מאַנשאַפֿט הינטער די Raydium דיסענטראַלייזד וועקסל (DEX) האט מודיע דעטאַילס ווי די כאַק פון דעצעמבער 16 פארגעקומען און געפֿינט אַ פאָרשלאָג צו פאַרגיטיקן וויקטימס.
לויט אַן באַאַמטער פאָרום פּאָסטן פון די מאַנשאַפֿט, דער העקער איז געווען ביכולת צו מאַכן אַוועק מיט איבער $ 2 מיליאָן אין קריפּטאָ רויב דורך exploiting אַ וואַלנעראַביליטי אין די DEX ס קלוג קאַנטראַקץ וואָס ערלויבט גאַנץ ליקווידיטי פּאָאָלס צו זיין וויטדראָן דורך אַדמינס, טראָץ יגזיסטינג פּראַטעקשאַנז צו פאַרמייַדן אַזאַ נאַטור.
די מאַנשאַפֿט וועט נוצן זיין אייגענע אַנלאַקט טאָקענס צו פאַרגיטיקן וויקטימס וואָס פאַרפאַלן Raydium טאָקענס, אויך באקאנט ווי RAY. אָבער, די דעוועלאָפּער טוט נישט האָבן די סטאַבילקאָין און אנדערע ניט-RAY טאָקענס צו פאַרגיטיקן וויקטימס, אַזוי עס איז אַסקינג פֿאַר אַ שטימען פון RAY האָלדערס צו נוצן די דיסענטראַלייזד אָטאַנאַמאַס אָרגאַניזאַציע (DAO) שאַצקאַמער צו קויפן די פעלנדיק טאָקענס צו צוריקצאָלן די אַפעקטאַד דורך די. עקספּלויטירן.
1/ דערהייַנטיקן אויף רימידייישאַן פון געלט פֿאַר די לעצטע עקספּלויטיישאַן
ערשטער, דאַנקען פֿאַר אַלעמען ס געדולד ביז איצט
אַן ערשט פאָרשלאָג אויף אַ וועג פאָרויס איז פּאָסטעד פֿאַר דיסקוסיע. Raydium ינקעראַדזשאַז און אַפּרישיייץ אַלע באַמערקונגען אויף דעם פאָרשלאָג.https://t.co/NwV43gEuI9
- Raydium (@RaydiumProtocol) דעצעמבער קסנומקס, קסנומקס
לויט אַ באַזונדער פּאָסט-מאָרטעם באַריכט, די אַטאַקער ס ערשטער שריט אין די עקספּלויטיישאַן איז געווען צו געווינען קאָנטראָל פון אַ אַדמיניסטראַטאָר בעקן פּריוואַט שליסל. די מאַנשאַפֿט קען נישט וויסן ווי דער שליסל איז באקומען, אָבער עס סאַספּעקץ אַז די ווירטואַל מאַשין וואָס האָט געהאלטן דעם שליסל איז ינפעקטאַד מיט אַ טראָדזשאַן פּראָגראַם.
אַמאָל די אַטאַקער האט דער שליסל, זיי גערופן אַ פֿונקציע צו צוריקציען טראַנסאַקטיאָן פיז וואָס וואָלט נאָרמאַלי גיין צו די DAO ס שאַצקאַמער צו זיין געוויינט פֿאַר בייבאַקקס פון RAY. אויף Raydium, טראַנסאַקטיאָן פיז טאָן ניט אויטאָמאַטיש גיין צו די שאַצקאַמער אין דעם מאָמענט פון אַ ויסבייַטן. אַנשטאָט, זיי בלייבן אין די בעקן פון די ליקווידיטי שפּייַזער ביז זיי וויטדראָן דורך אַ אַדמיניסטראַטאָר. אָבער, דער קלוג קאָנטראַקט האלט די סומע פון פיז שולדיק געווען צו די DAO דורך פּאַראַמעטערס. דאָס זאָל האָבן פּריווענטיד די אַטאַקער צו קענען צוריקציען מער ווי 0.03% פון די גאַנץ טריידינג באַנד וואָס איז פארגעקומען אין יעדער בעקן זינט די לעצטע ווידדראָאַל.
פונדעסטוועגן, ווייַל פון אַ פלאָ אין די קאָנטראַקט, דער אַטאַקער איז ביכולת צו מאַניואַלי טוישן די פּאַראַמעטערס, אַזוי עס קוקט ווי די גאנצע ליקווידיטי בעקן איז טראַנסאַקטיאָן פיז וואָס איז געזאמלט. דאָס האָט דערלויבט דעם אַטאַקער צו צוריקציען אַלע געלטער. אַמאָל די געלט זענען וויטדראָן, די אַטאַקער איז ביכולת צו מאַניואַלי ויסבייַטן זיי פֿאַר אנדערע טאָקענס און אַריבערפירן די לייזונג צו אנדערע וואָלאַץ אונטער די אַטאַקער ס קאָנטראָל.
פֿאַרבונדענע: דעוועלאָפּער זאגט אַז פראיעקטן אָפּזאָגן צו צאָלן באַונאַטיז צו ווייַס הוט כאַקערז
אין ענטפער צו די גווורע, די מאַנשאַפֿט האט אַפּגריידיד די סמאַרט קאַנטראַקץ פון די אַפּ צו באַזייַטיקן אַדמין קאָנטראָל איבער די פּאַראַמעטערס וואָס זענען עקספּלויטאַד דורך די אַטאַקער.
אין די 21 דעצעמבער פאָרום פּאָסטן, די דעוועלאָפּערס פארגעלייגט אַ פּלאַן צו פאַרגיטיקן וויקטימס פון די באַפאַלן. די מאַנשאַפֿט וועט נוצן זיין אייגענע אַנלאַקט RAY טאָקענס צו פאַרגיטיקן RAY האָלדערס וואָס האָבן פאַרלאָרן זייער טאָקענס רעכט צו דער באַפאַלן. עס האט געבעטן פֿאַר אַ פאָרום דיסקוסיע ווי צו ינסטרומענט אַ פאַרגיטיקונג פּלאַן ניצן די DAO ס שאַצקאַמער צו קויפן ניט-RAY טאָקענס וואָס זענען פאַרפאַלן. די מאַנשאַפֿט איז אַסקינג פֿאַר אַ דריי-טאָג דיסקוסיע צו באַשליסן די אַרויסגעבן.
די $ 2 מיליאָן Raydium כאַק איז געווען first discovered אויף דעצעמבער 16. ערשט ריפּאָרץ געזאגט אַז דער אַטאַקער האט געניצט די withdraw_pnl פֿונקציע צו באַזייַטיקן ליקווידיטי פון פּאָאָלס אָן דיפּאַזאַץ לפּ טאָקענס. אבער וויבאלד די פונקציע האט נאר געדארפט דערלויבן דעם אטאקער אראפצונעמען טראנזאקציע פיז, איז דער אקטואלער מעטאד מיט וועלכע זיי האבן געקענט אפלויפן גאנצע וואלן נישט באקאנט ביז נאכדעם וואס אן אויספארשונג איז דורכגעפירט געווארן.
מקור: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims