Злы і рашучы зламыснік дзейнічаў неадэкватна, выкарыстоўваючы аўтарытэтны ўліковы запіс Raydium Liquidity Pool V4. Аднак гэта дасягаецца шляхам падлучэння да ўладальніка пула або ўліковага запісу адміністратара. Аднак у выпадку ўліковага запісу ўладальніка пула ён першапачаткова размяшчаўся на віртуальнай машыне з пэўным унутраным серверам.
Нягледзячы на ўсе сабраныя факты, у цяперашні час праводзіцца ўнутраная праверка бяспекі з мэтай і намерам паспрабаваць расшыфраваць усе магчымыя прычыны маніпуляцый з уліковым запісам, пра які ідзе гаворка. Тым не менш, рэальны факт справы па-ранейшаму застаецца ў курсе таго, што ўсё яшчэ належыць раскрыццё справы, якое ненаўмысна ператворыцца ў лепшае і больш дакладнае разуменне.
Аднак, улічваючы ўсе невядомыя параметры, відавочна, што зламыснік змог негатыўна паўплываць на восем пастаянных пулаў ліквіднасці прадукту на Raydium. Аднак гэта прывяло да скрадзеных сродкаў на суму каля 4.4 мільёна долараў. Акрамя таго, выратаваннем з'яўляецца тое, што ніякія іншыя пулы або фонды на Raydium не сталі сведкамі незаконнага прысваення сродкаў.
Зламыснік выкарыстаў два асноўныя метады эксплуатацыі Radyium. Адзін са спосабаў заключаўся ў тым, што зламыснік мог скарыстацца функцыянаваннем інструкцыі drawPNL для вываду сродкаў, больш у выглядзе камісій, са сховішча пула. У другім выпадку зламыснік выкарыстаў інструкцыю SetParams для змены і павелічэння чаканых збораў, тым самым вывеўшы сродкі са сховішча пула.
Radiyum, са свайго боку, каб спыніць зламысніка, усталяваў гарачы патч, які дапамог ануляваць паўнамоцтвы папярэдняга ўліковага запісу, і абнавіў яго да новага ўліковага запісу. Патч, у дадзеным выпадку, анулюе паўнамоцтвы зламысніка, прадухіляючы далейшае няправільнае выкарыстанне пулаў. Пасля першых крокаў праграма пашыраецца з дапамогай Squads multisig, каб выдаліць непажаданыя параметры адміністравання, якія ўплываюць на сродкі.
Акрамя таго, некаторыя з параметраў, якія былі выдалены, гэта AmmParams::MinSize, AmmParams::SetLpSupply,AmmParams::SyncNeedTake і AmmParams::SyncLp.
Усе параметры адміністратара належным чынам абнаўляюцца ў адпаведнасці з мультысігналам атрадаў, які ў цяперашні час выкарыстоўваецца для абнаўлення праграм. У якасці дадатковай абароны Radyium знаходзіцца ў працэсе разумення ўплыву незаконнага прысваення сродкаў на балансы пулаў карыстальнікаў LP. Акрамя таго, кашалькі зламыснікаў таксама адсочваюцца падчас вызначэння спосабаў вяртання сродкаў. У далейшым па пытаннях узроўню Radyium карыстаецца дапамогай некаторых каманд Solana, старонніх аўдытараў і цэнтралізаваных біржаў. Замест вяртання сродкаў таксама прапануецца ўзнагарода ў памеры 3%.
Крыніца: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/