El equipo detrás del intercambio descentralizado Raydium (DEX) ha anunciado detalles sobre cómo ocurrió el ataque del 16 de diciembre y ofreció una propuesta para compensar a las víctimas.
Según una publicación oficial del foro del equipo, el pirata informático pudo arreglárselas con más de $ 2 millones en botín criptográfico al explotando una vulnerabilidad en los contratos inteligentes de DEX que permitía que los administradores retiraran fondos de liquidez completos, a pesar de que las protecciones existentes evitaban tal comportamiento.
El equipo utilizará sus propios tokens desbloqueados para compensar a las víctimas que perdieron tokens Raydium, también conocidos como RAY. Sin embargo, el desarrollador no tiene la moneda estable y otros tokens que no son RAY para compensar a las víctimas, por lo que solicita el voto de los titulares de RAY para usar la tesorería de la organización autónoma descentralizada (DAO) para comprar los tokens que faltan para pagar a los afectados por el explotar.
1/ Actualización sobre la remediación de fondos por explotación reciente
Primero, gracias por la paciencia de todos hasta ahora.
Se ha publicado una propuesta inicial sobre el camino a seguir para su discusión. Raydium alienta y agradece todos los comentarios sobre la propuesta.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) 21 de diciembre de 2022
Según un informe post-mortem separado, el primer paso del atacante en el exploit fue ganar control de una clave privada del grupo de administración. El equipo no sabe cómo se obtuvo esta clave, pero sospecha que la máquina virtual que contenía la clave se infectó con un programa troyano.
Una vez que el atacante tenía la clave, llamó a una función para retirar las tarifas de transacción que normalmente irían a la tesorería de DAO para ser utilizadas para recompras de RAY. En Raydium, las tarifas de transacción no van automáticamente a la tesorería en el momento de un intercambio. En su lugar, permanecen en el grupo del proveedor de liquidez hasta que los retira un administrador. Sin embargo, el contrato inteligente realiza un seguimiento de la cantidad de tarifas adeudadas al DAO a través de parámetros. Esto debería haber evitado que el atacante pudiera retirar más del 0,03% del volumen total de transacciones que se había producido en cada grupo desde el último retiro.
Sin embargo, debido a una falla en el contrato, el atacante pudo cambiar manualmente los parámetros, haciendo que pareciera que todo el fondo de liquidez eran tarifas de transacción que se habían cobrado. Esto permitió al atacante retirar todos los fondos. Una vez que se retiraron los fondos, el atacante pudo cambiarlos manualmente por otros tokens y transferir los ingresos a otras billeteras bajo el control del atacante.
Relacionado: El desarrollador dice que los proyectos se niegan a pagar recompensas a los piratas informáticos de sombrero blanco
En respuesta a la vulnerabilidad, el equipo actualizó los contratos inteligentes de la aplicación para eliminar el control administrativo sobre los parámetros que fueron explotados por el atacante.
En la publicación del foro del 21 de diciembre, los desarrolladores propusieron un plan para compensar a las víctimas del ataque. El equipo utilizará sus propios tokens RAY desbloqueados para compensar a los titulares de RAY que perdieron sus tokens debido al ataque. Ha solicitado una discusión en el foro sobre cómo implementar un plan de compensación utilizando la tesorería de DAO para comprar tokens que no sean RAY que se hayan perdido. El equipo está pidiendo que se lleve a cabo una discusión de tres días para decidir el problema.
El hackeo de $2 millones de Raydium se descubrió por primera vez el 16 de diciembre. Los informes iniciales decían que el atacante había utilizado la función retirar_pnl para eliminar la liquidez de los grupos sin depositar tokens LP. Pero dado que esta función solo debería haber permitido al atacante eliminar las tarifas de transacción, el método real por el cual podrían drenar grupos completos no se conoció hasta después de que se llevó a cabo una investigación.