Piktas ir ryžtingas užpuolikas elgėsi netinkamai naudodamasis Raydium Liquidity Pool V4 autoritetinga paskyra. Tačiau tai pasiekiama prisijungus prie baseino savininko arba administravimo paskyros. Tačiau telkinio savininko paskyros atveju ji iš pradžių buvo patalpinta virtualioje mašinoje su konkrečiu vidiniu serveriu.
Nepaisant visų šiuo metu surinktų faktų, šiuo metu yra atliekamas vidinis saugumo auditas, kurio tikslas ir tikslas pabandyti iššifruoti visas galimas manipuliavimo atitinkama paskyra priežastis. Tačiau tikrasis faktas vis dar išlieka žinant, kad dar reikia tinkamai atskleisti atvejį, kuris netyčia virs geresniu ir aiškesniu supratimu.
Tačiau, atsižvelgiant į visus nežinomus parametrus, aišku, kad užpuolikas sugebėjo neigiamai paveikti aštuonis pastovius Raydium produktų likvidumo fondus. Tačiau dėl to pavogta lėšų už maždaug 4.4 mln. Be to, gelbsti tai, kad joks kitas „Raydium“ fondas ar fondai nepastebėjo neteisėto pasisavinimo.
Užpuolikas naudojo du pagrindinius „Radyium“ išnaudojimo būdus. Vienas iš būdų buvo, kai užpuolikas galėjo pasinaudoti išėmimo PNL nurodymu, kad iš fondo saugyklos būtų paimtos lėšos, daugiau mokesčių pavidalu. Antruoju atveju užpuolikas pasinaudojo „SetParams“ instrukcija, kad pakeistų ir padidintų numatomus mokesčius, taip išimdamas lėšas iš fondo saugyklos.
Savo ruožtu „Radiyum“, norėdamas sustabdyti užpuoliką, įdėjo karštą pataisą, kuri padėjo panaikinti ankstesnės paskyros autoritetą, ir atnaujino ją į naują. Šiuo atveju pataisa panaikino užpuoliko autoritetą, užkirsdama kelią tolesniam netinkamam telkinių panaudojimui. Po pirminių veiksmų programa patobulinta naudojant Squads multisig, kad būtų pašalinti nepageidaujami administravimo parametrai, darantys įtaką lėšoms.
Be to, kai kurie parametrai, kurie buvo pašalinti, yra AmmParams::MinSize, AmmParams::SetLpSupply,AmmParams::SyncNeedTake ir AmmParams::SyncLp.
Visi administratoriaus parametrai yra tinkamai atnaujinti į squads multisig, kuris šiuo metu naudojamas programoms atnaujinti. Siekdama papildomos apsaugos, „Radyium“ šiuo metu aiškinasi neteisėto pasisavinimo poveikį vartotojų LP likučių telkiniams. Be to, užpuolikų piniginės taip pat stebimos, kai ieškoma būdų, kaip grąžinti lėšas. Kalbant apie lygius, „Radyium“ pasitelkia kai kurias „Solana“ komandas, trečiųjų šalių auditorius ir centralizuotus mainus. Vietoj grąžinamų lėšų taip pat siūloma 3% premija.
Šaltinis: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/