متابعة استغلال Raydium Liquidity Pool مؤخرًا

https://raydium.medium.com/detailed-post-mortem-and-next-steps-d6d6dd461c3e

في 16 ديسمبر 2022 ، في10:12 بالتوقيت العالمي ، بدأ أحد الفاعلين الخبيثين استغلالًا فيتجمع السيولة Raydium V4.0 'سحساب السلطة من خلال الوصول إلىمالك المسبح (المسؤول) الحساب.

نشرت OtterSec ملفنظرة عامة أولية من الهجوم.

يتوسع هذا التحديث أيضًا في ملفالتشريح الأولي تم نشره على Twitter بواسطة حساب Raydium الرسمي.

تحاول هذه العملية التفصيلية بعد الوفاة تقديم وصف متعمق لكيفية تنفيذ عملية الاستغلال ، وكيفية التخفيف من حدة المشكلة ، والخطوات التالية.

خلفية:

تم نشر حساب مالك المجمع المذكور أعلاه مبدئيًا على جهاز ظاهري مزود بخادم داخلي مخصص. بعد مراجعة إضافية ، لا يوجد حاليًا أي دليل على أن المفتاح الخاص لحساب مالك المجمع قد تم تمريره أو مشاركته أو نقله أو تخزينه محليًا خارج الجهاز الظاهري حيث تم نشره في الأصل.

مراجعة الأمن الداخلي جارية من أجل تحديد طبيعة وسبب اختراق الحساب. الشكوك الأولية هي أن المهاجم ربما يكون قد حصل على وصول عن بعد إلى الجهاز الظاهري أو الخادم الداخلي حيث تم نشر الحساب. لم يتم بعد تحديد ناقل التسلل الدقيق ، ولكن قد يكون هجوم طروادة أحد الاحتمالات.

تشير المراجعة الأولية إلى أن حساب مستغل Raydium متورط في نشاط شائن آخر على Solana. أحد المؤشرات على ذلك هو ملفسقسقة منكلاودزي سول في السابع من تشرين الثاني (نوفمبر) ، توضح تفاصيل استغلال المحفظة التي تصل إلى 198 SOL في نهاية المطافوصل في النفس الحساب التي مولت في الأصلاستغلال Raydium الأساسي المحفظة كما هو مذكور فيالتشريح الأولي سقسقة.

تفاصيل استغلال

قام المهاجم باختراق ثمانية مجمعات سيولة ثابتة للمنتج على Raydium ، بإجمالي حوالي 4.4 مليون دولار أمريكي من الأموال المسروقة. لم تتأثر مجمعات السيولة المركزة وبرامج RAY بالاستغلال. أي تجمع أو أموال أخرى على Raydium لم تتأثر بالاستغلال.

تشير الصورة أدناه إلى الأصول التي نقلها المهاجم أثناء الاستغلال من التجمعات المتأثرة. يشير الرمز "الأساسي" إلى الرمز المميز على الجانب الأيسر من زوج التوكن ، ويشير "اقتباس" إلى الرمز المميز على الجانب الأيمن من الزوج (عادةً ما يكون ثابتًا أو SOL).

يمكن العثور على قائمة كاملة بسجل المعاملات والأموال المفقودة هنا:https://github.com/raydium-io/dec_16_exploit

حدث الاستغلال في جزأين:

1. تعليمات pullPNL سارية لتحصيل رسوم البروتوكول لعمليات إعادة شراء RAY وتستند إلى كمية محددة مسبقًا من الأصول تحددها need_take_pc و need_take_coin ، والتي يجب أن تكون معادلة لـ 12٪ من إجمالي الرسوم المكتسبة من قبل التجمع أو 3 بت في الثانية من 25 نقطة أساس مكتسبة من معاملات المبادلة. استخدم المهاجم هذه الوظيفة لسحب الأموال (المعينة كرسوم) من قبو التجمع. بعد بدء pullPNL ، تتم إعادة تعيين حساب need_take_pc و need_take_coin تلقائيًا إلى الصفر.
2. استخدم المهاجم تعليمات SetParams جنبًا إلى جنب مع AmmParams :: SyncNeedTake لتضخيم أرصدة need_take_pc و need_take_coin دون الحاجة إلى حدوث حجم تداول ، مما يسمح للمهاجم بتعديل وزيادة الرسوم المتوقعة ثم سحب الأموال (المعينة كرسوم) من قبو التجمع عبر pullPNL ، بشكل متكرر.

التخفيف الأولي من الاستغلال

في 16 كانون الأول (ديسمبر) 2022 الساعة 14:16 بالتوقيت العالمي المنسق ، نشر Raydium رقعة ساخنة ، أو كعب روتين ، يُعرف أيضًا باسم بديل يمكن التحكم فيه لتبعية موجودة لجميع البرامج. بمعنى آخر ، سلطة الحساب المخترق (HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv ) تم إبطاله وتم تحديثه إلى حساب جديد موجود في محفظة أجهزة.

ألغى هذا التصحيح سلطة المهاجم وقدرته على زيادة استغلال المجمعات.

تم اتخاذ خطوات أمنية إضافية

17 ديسمبر ، 10:27 بالتوقيت العالمي المنسق : تمت ترقية برنامج Raydium AMM V4 عبر Squads multisig لإزالة معلمات الإدارة غير الضرورية التي قد يكون لها تأثير على الأموال إذا تم اختراقها.

تمت إزالة المعلمات التالية:

• AmmParams :: MinSize
• AmmParams :: SyncLp
• AmmParams :: SetLpSupply
• AmmParams :: SyncK
• AmmParams :: SyncNeedTake

بالإضافة إلى ذلك ، تمت إزالة جميع معلمات المسؤول لـ:

• برك رايديوم المستقرة
• رايديوم Acceleraytor
• Raydium DropZone

تم تحديث جميع معلمات المسؤول المتبقية ، بما في ذلك وظيفة pullPNL ، إلى التشكيلاتمولتيسيج تُستخدم حاليًا لترقيات البرنامج في حوالي الساعة 15:00 بالتوقيت العالمي المنسق يوم 17 ديسمبر.

الخطوات التالية

يقترب Raydium من الخطوات التالية على جبهتين ، في وقت واحد:

1. التحديد الدقيق لتأثير الاستغلال على مجمعات أرصدة LP الخاصة بالمستخدم

يقوم Raydium بسحب اللقطات وجمع البيانات لجميع أرصدة LP وأحجام المراكز المقابلة قبل حدوث الاختراق ، بالإضافة إلى استقراء التناقض في الأرصدة الأصلية التي نتجت عن الاستغلال. يعد التأكد من تحديد حساب دقيق للأرصدة ضروريًا لتحديد حل مناسب للمضي قدمًا. سوف يستغرق الأمر بعض الوقت للحصول على معلومات دقيقة لجميع الحسابات وأرصدة LP في المجمعات المتأثرة ، والصبر خلال هذا الوقت موضع تقدير كبير.

2. تتبع محافظ المهاجمين واستكشاف خيارات إعادة الأموال

كان Raydium على اتصال بعدد من فرق Solana ومدققي الطرف الثالث والتبادلات المركزية التي قدمت الدعم والخيوط المحتملة فيما يتعلق بالمهاجم والحسابات ذات الصلة. في حين أنه لا يوجد شيء محدد في الوقت الحالي ، فقد ظهرت أدلة تربط المحافظ المعنية (كما هو مذكور في "الخلفية" أعلاه) في الاستغلال لمشروعات سجادة NFT السابقة والاستنزاف الضار لمحافظ المستخدم. ستواصل Raydium التواصل مع الفرق ذات الصلة وخبراء الأمن لاستكشاف سبل استرداد الأموال.

تقدم Raydium مكافأة بنسبة 10٪ مقابل إعادة الأموال. يوفر Raydium توازن RAY المستغل كمكافأة إضافية.

تحرك للأمام

لا يزال هناك عمل يتعين القيام به لتقييم التأثير العام على أرصدة وأموال المستخدمين الفرديين. بينما يدرك Raydium أن جميع الأطراف قلقون بشأن الأموال المعنية ، لا تزال هناك حاجة إلى الوقت لجمع البيانات والمعلومات قبل أن يتم تقييم جميع الخيارات للمضي قدمًا. سيتم إرسال تفاصيل إضافية عند توفرها.