Theo dõi việc khai thác Nhóm thanh khoản Raydium gần đây

https://raydium.medium.com/detailed-post-mortem-and-next-steps-d6d6dd461c3e

Vào ngày 16 tháng 12 năm 2022, lúc10:12 UTC , một diễn viên độc hại đã bắt đầu khai thác trênQuỹ thanh khoản Raydium V4 'Stài khoản ủy quyền bằng cách đạt được quyền truy cập vàoChủ hồ bơi (Quản trị viên) tài khoản.

OtterSec đã đăng mộttổng quan ban đầu của cuộc tấn công.

Bản cập nhật này cũng mở rộng trênkhám nghiệm tử thi ban đầu được đăng trên Twitter bởi tài khoản chính thức của Raydium.

Bản phân tích chi tiết này cố gắng cung cấp mô tả chuyên sâu về cách khai thác được thực hiện, cách giảm nhẹ vấn đề và các bước tiếp theo.

Lý lịch:

Tài khoản Chủ sở hữu nhóm được đề cập ở trên ban đầu được triển khai trên một máy ảo có máy chủ nội bộ chuyên dụng. Sau khi xem xét bổ sung, hiện tại không có bằng chứng nào cho thấy khóa riêng tư cho tài khoản Chủ sở hữu nhóm đã từng được chuyển, chia sẻ, chuyển giao hoặc lưu trữ cục bộ bên ngoài máy ảo nơi nó được triển khai ban đầu.

Chúng tôi đang tiến hành đánh giá bảo mật nội bộ để xác định bản chất và nguyên nhân gốc rễ của việc tài khoản bị xâm phạm. Những nghi ngờ ban đầu là kẻ tấn công có thể đã giành được quyền truy cập từ xa vào máy ảo hoặc máy chủ nội bộ nơi tài khoản được triển khai. Vectơ xâm nhập chính xác vẫn chưa được xác định, nhưng một cuộc tấn công trojan có thể là một khả năng.

Đánh giá ban đầu chỉ ra rằng tài khoản khai thác Raydium có liên quan đến hoạt động bất chính khác trên Solana. Một dấu hiệu của điều này là mộttiếng riu ríu từcloudzy.sol vào ngày 7 tháng 11 nêu chi tiết một vụ khai thác ví lên tới 198 SOL mà cuối cùngđã đến bên trongcùng một tài khoản mà ban đầu tài trợ choví khai thác Raydium chính như đã đề cập trongkhám nghiệm tử thi ban đầu tiếng riu ríu.

Khai thác chi tiết

Kẻ tấn công đã xâm phạm tám nhóm thanh khoản sản phẩm cố định trên Raydium, với tổng số tiền bị đánh cắp khoảng ~4,4 triệu USD. Nhóm thanh khoản tập trung và các chương trình đặt cược RAY không bị ảnh hưởng bởi việc khai thác. Bất kỳ nhóm hoặc quỹ nào khác trên Raydium không bị ảnh hưởng bởi việc khai thác.

Hình ảnh bên dưới cho thấy tài sản được chuyển bởi kẻ tấn công trong quá trình khai thác từ các nhóm bị ảnh hưởng. Mã thông báo 'Cơ sở' đề cập đến mã thông báo ở bên trái của cặp mã thông báo, 'Quote' đề cập đến mã thông báo ở bên phải của cặp (thường là stablecoin hoặc SOL).

Bạn có thể tìm thấy danh sách đầy đủ về lịch sử giao dịch và số tiền bị mất tại đây:https://github.com/raydium-io/dec_16_exploit

Việc khai thác xảy ra trong hai phần:

1. Hướng dẫn rút tiền PNL được áp dụng để thu phí giao thức cho các giao dịch mua lại RAY và dựa trên số lượng tài sản được xác định trước được xác định bởi Need_take_pc và Need_take_coin, tương đương với 12% tổng số phí kiếm được từ nhóm hoặc 3bps trong số 25 bps kiếm được từ giao dịch hoán đổi. Kẻ tấn công đã sử dụng chức năng này để rút tiền (được chỉ định là phí) từ kho quỹ chung. Sau khi bắt đầu rút PNL, phép tính Need_take_pc và Need_take_coin sẽ tự động đặt lại về 0.
2. Kẻ tấn công đã sử dụng lệnh SetParams kết hợp với AmmParams::SyncNeedTake để tăng số dư cho Need_take_pc và Need_take_coin mà không cần khối lượng giao dịch, cho phép kẻ tấn công thay đổi và tăng các khoản phí dự kiến, sau đó rút tiền (được chỉ định là phí) từ pool vault thông qua rút PNL, lặp đi lặp lại.

Giảm thiểu khai thác ban đầu

Vào ngày 16 tháng 12 năm 2022 lúc 14:16 UTC, Raydium đã triển khai một bản vá nóng hoặc còn sơ khai, còn được gọi là sự thay thế có thể kiểm soát cho phần phụ thuộc hiện có cho tất cả các chương trình. Nói cách khác, thẩm quyền của tài khoản bị xâm nhập (HggGrUeg4ReGvpPMLJMFKV69NTXL1r4wQ9Pk9Ljutwyv ) đã bị thu hồi và được cập nhật thành tài khoản mới được giữ trên ví phần cứng.

Bản vá này đã thu hồi quyền hạn và khả năng khai thác thêm các nhóm của kẻ tấn công.

Các bước bảo mật bổ sung đã thực hiện

17 tháng 12, 10:27 UTC : Chương trình Raydium AMM V4 đã được nâng cấp thông qua đa chữ ký của Squad để xóa các thông số quản trị không cần thiết có khả năng ảnh hưởng đến tiền nếu bị xâm phạm.

Các tham số sau đã bị xóa:

• AmmParams::MinSize
• AmmParams::SyncLp
• AmmParams::SetLpSupply
• AmmParams::SyncK
• AmmParams::SyncNeedTake

Ngoài ra, tất cả các tham số quản trị đã bị xóa đối với:

• Bể ổn định Raydium
• Máy gia tốc Raydium
• Raydium DropZone

Tất cả các thông số quản trị còn lại, bao gồm cả chức năng rút PNL, đã được cập nhật vào Squadsnhiều chữ ký hiện được sử dụng để nâng cấp chương trình vào khoảng 15:00 UTC ngày 17 tháng 12.

Bước tiếp theo

Raydium đang tiếp cận các bước tiếp theo trên hai mặt trận, đồng thời:

1. Xác định chính xác tác động của việc khai thác đối với nhóm đối với số dư LP của người dùng

Raydium đang lấy ảnh chụp nhanh và đối chiếu dữ liệu cho tất cả số dư LP và kích thước vị trí tương ứng trước khi xảy ra vụ hack, cũng như ngoại suy sự khác biệt trong số dư ban đầu do khai thác. Đảm bảo rằng một tài khoản chính xác về số dư được xác định là cần thiết để xác định một giải pháp phù hợp trong tương lai. Sẽ mất một thời gian để có được thông tin chính xác cho tất cả các tài khoản và số dư LP trong các nhóm bị ảnh hưởng, sự kiên nhẫn trong thời gian này được đánh giá cao.

2. Theo dõi ví của kẻ tấn công và khám phá các tùy chọn để trả lại tiền

Raydium đã liên hệ với một số nhóm Solana, kiểm toán viên bên thứ 3 và các sàn giao dịch tập trung đã cung cấp hỗ trợ và các đầu mối tiềm năng liên quan đến kẻ tấn công và các tài khoản có liên quan. Mặc dù hiện tại vẫn chưa có gì chắc chắn, nhưng bằng chứng đã xuất hiện kết nối các ví có liên quan (như đã đề cập trong phần 'Bối cảnh' ở trên) trong việc khai thác các dự án thảm NFT trước đó và làm cạn kiệt ví của người dùng một cách độc hại. Raydium sẽ tiếp tục liên lạc với các nhóm có liên quan và các chuyên gia bảo mật để khám phá các cách lấy lại tiền.

Raydium đang cung cấp tiền thưởng 10% để đổi lấy tiền hoàn trả. Raydium cung cấp số dư RAY được khai thác dưới dạng tiền thưởng bổ sung.

Tiến về phía trước

Vẫn còn nhiều việc phải làm để đánh giá tác động tổng thể đối với số dư và quỹ LP của người dùng cá nhân. Mặc dù Raydium hiểu rằng tất cả các bên đều lo lắng về số tiền đang được đề cập, nhưng vẫn cần thời gian để thu thập dữ liệu và thông tin trước khi có thể đánh giá tất cả các lựa chọn cho con đường phía trước. Các chi tiết bổ sung sẽ được thông báo khi chúng có sẵn.