रेडियम विकेंद्रीकृत एक्सचेंज (डीईएक्स) के पीछे की टीम ने विवरण की घोषणा की है कि 16 दिसंबर की हैकिंग कैसे हुई और पीड़ितों को मुआवजा देने का प्रस्ताव पेश किया।
टीम के एक आधिकारिक फ़ोरम पोस्ट के अनुसार, हैकर क्रिप्टो लूट में $2 मिलियन से अधिक की कमाई करने में सक्षम था शोषण DEX के स्मार्ट अनुबंधों में एक भेद्यता जिसने इस तरह के व्यवहार को रोकने के लिए मौजूदा सुरक्षा के बावजूद पूरे तरलता पूल को व्यवस्थापकों द्वारा वापस लेने की अनुमति दी।
रेडियम टोकन खोने वाले पीड़ितों को मुआवजा देने के लिए टीम अपने स्वयं के अनलॉक टोकन का उपयोग करेगी, जिसे आरएवाई भी कहा जाता है। हालांकि, पीड़ितों को मुआवजा देने के लिए डेवलपर के पास स्थिर मुद्रा और अन्य गैर-आरएवाई टोकन नहीं हैं, इसलिए यह प्रभावित लोगों को चुकाने के लिए लापता टोकन खरीदने के लिए विकेंद्रीकृत स्वायत्त संगठन (डीएओ) के खजाने का उपयोग करने के लिए आरएवाई धारकों से वोट मांग रहा है। शोषण, अनुचित लाभ उठाना।
1/हाल ही के शोषण के लिए धन के उपचार पर अद्यतन
सबसे पहले, अब तक सभी के धैर्य के लिए धन्यवाद
आगे के रास्ते पर एक प्रारंभिक प्रस्ताव चर्चा के लिए पोस्ट किया गया है। रेडियम प्रस्ताव पर सभी फीडबैक को प्रोत्साहित करता है और उसकी सराहना करता है।https://t.co/NwV43gEuI9
- रेडियम (@RaydiumProtocol) दिसम्बर 21/2022
एक अलग पोस्ट-मॉर्टम रिपोर्ट के अनुसार, हमलावर का शोषण करने का पहला कदम था लाभ एक व्यवस्थापक पूल निजी कुंजी का नियंत्रण। टीम को यह नहीं पता कि यह कुंजी कैसे प्राप्त हुई, लेकिन उसे संदेह है कि कुंजी रखने वाली वर्चुअल मशीन ट्रोजन प्रोग्राम से संक्रमित हो गई।
एक बार हमलावर के पास चाबी होने के बाद, उन्होंने लेन-देन शुल्क वापस लेने के लिए एक समारोह बुलाया, जो आम तौर पर आरएवाई के बायबैक के लिए उपयोग किए जाने वाले डीएओ के खजाने में जाएगा। रेडियम पर, लेन-देन शुल्क स्वैप के क्षण में स्वचालित रूप से ट्रेजरी में नहीं जाता है। इसके बजाय, वे एक व्यवस्थापक द्वारा निकाले जाने तक चलनिधि प्रदाता के पूल में बने रहते हैं। हालाँकि, स्मार्ट अनुबंध मापदंडों के माध्यम से DAO को देय शुल्क की राशि का ट्रैक रखता है। इससे हमलावर को पिछले निकासी के बाद से प्रत्येक पूल में हुई कुल ट्रेडिंग वॉल्यूम का 0.03% से अधिक निकालने में सक्षम होने से रोका जाना चाहिए था।
फिर भी, अनुबंध में एक दोष के कारण, हमलावर मैन्युअल रूप से मापदंडों को बदलने में सक्षम था, जिससे यह प्रतीत होता है कि संपूर्ण तरलता पूल लेन-देन शुल्क था जिसे एकत्र किया गया था। इसने हमलावर को सभी धनराशि निकालने की अनुमति दी। एक बार धन वापस ले लिए जाने के बाद, हमलावर अन्य टोकन के लिए उन्हें मैन्युअल रूप से स्वैप करने में सक्षम था और हमलावर के नियंत्रण में आय को अन्य वॉलेट में स्थानांतरित कर सकता था।
संबंधित: डेवलपर का कहना है कि प्रोजेक्ट व्हाइट हैट हैकर्स को इनाम देने से इनकार कर रहे हैं
शोषण के जवाब में, टीम ने हमलावर द्वारा उपयोग किए गए मापदंडों पर व्यवस्थापक नियंत्रण को हटाने के लिए ऐप के स्मार्ट अनुबंधों को अपग्रेड किया है।
21 दिसंबर के फोरम पोस्ट में, डेवलपर्स ने हमले के पीड़ितों को मुआवजा देने की योजना का प्रस्ताव रखा। हमले के कारण अपने टोकन खो चुके RAY धारकों को मुआवजा देने के लिए टीम अपने स्वयं के अनलॉक RAY टोकन का उपयोग करेगी। इसने खोए हुए गैर-आरएवाई टोकन खरीदने के लिए डीएओ के खजाने का उपयोग करके मुआवजा योजना को कैसे लागू किया जाए, इस पर एक मंच चर्चा के लिए कहा है। टीम इस मुद्दे को तय करने के लिए तीन दिन की चर्चा के लिए कह रही है।
$2 मिलियन का रेडियम हैक था पहले की खोज की 16 दिसंबर को। प्रारंभिक रिपोर्टों में कहा गया था कि हमलावर ने एलपी टोकन जमा किए बिना पूल से तरलता निकालने के लिए विथड्रॉल_पीएनएल फ़ंक्शन का उपयोग किया था। लेकिन चूंकि इस समारोह में केवल हमलावर को लेन-देन शुल्क निकालने की अनुमति देनी चाहिए थी, वास्तविक विधि जिसके द्वारा वे पूरे पूल को निकाल सकते थे, तब तक ज्ञात नहीं था जब तक कि एक जांच आयोजित नहीं की गई थी।
स्रोत: https://cointelegraph.com/news/raydium-announces-details-of-hack-proposes-compensation-for-victims