Gweithredodd ymosodwr dieflig a phendant lawer yn amhriodol gan ddefnyddio cyfrif awdurdod Raydium Liquidity Pool V4. Fodd bynnag, cyflawnir hyn trwy gysylltu â Pherchennog y Gronfa neu'r cyfrif gweinyddol. Yn achos y cyfrif perchennog pwll, fodd bynnag, fe'i gosodwyd yn wreiddiol ar beiriant rhithwir gyda gweinydd mewnol penodol.
Er gwaethaf yr holl ffeithiau sydd wedi'u casglu ar hyn o bryd, mae archwiliad diogelwch mewnol yn cael ei gynnal ar hyn o bryd gyda'r nod a'r bwriad o geisio canfod yr holl resymau posibl y tu ôl i drin y cyfrif dan sylw. Fodd bynnag, mae gwir ffaith y mater yn dal i sefyll gyda'r wybodaeth bod yr achos yn dal i fod i'w ddatgelu'n iawn, a fydd yn anfwriadol yn troi'n ddealltwriaeth well a chliriach.
Fodd bynnag, o ystyried yr holl baramedrau anhysbys, yr hyn sy'n amlwg yw bod yr ymosodwr yn gallu effeithio'n andwyol ar wyth pwll hylifedd cynnyrch cyson ar Raydium. Fodd bynnag, arweiniodd hyn at werth tua $4.4 miliwn o arian wedi'i ddwyn. Yn ogystal, y gras arbedol yw na welodd unrhyw gronfa neu gronfeydd eraill ar Raydium unrhyw gamddefnyddio.
Defnyddiodd yr ymosodwr ddau ddull sylfaenol wrth ecsbloetio'r Radyium. Un ffordd oedd pan allai'r ymosodwr fanteisio ar weithrediad y cyfarwyddyd tynnuPNL i dynnu arian, yn fwy ar ffurf ffioedd, o gladdgell y pwll. Yn yr ail achos, defnyddiodd yr ymosodwr gyfarwyddyd SetParams ar gyfer newid a chynyddu'r ffioedd disgwyliedig, a thrwy hynny dynnu'r arian yn ôl o gladdgell y pwll.
Fe wnaeth Radiyum, ar ei ran, i atal yr ymosodwr, osod darn poeth a helpodd i ddileu awdurdod y cyfrif blaenorol, a'i ddiweddaru i gyfrif newydd. Fe wnaeth y clwt, yn y senario achos hwn, ddiddymu awdurdod yr ymosodwr, gan atal unrhyw gamddefnyddio pellach o'r pyllau. Ar ôl y camau cychwynnol, mae'r rhaglen yn cael ei datblygu gyda chymorth Sgwadiau multisig i gael gwared ar baramedrau gweinyddol diangen sy'n effeithio ar arian.
At hynny, rhai o'r paramedrau sydd wedi'u dileu yw AmmParams::MinSize, AmmParams::SetLpSupply, AmmParams::SyncNeedTake ac AmmParams::SyncLp.
Mae'r holl baramedrau gweinyddol yn cael eu diweddaru'n briodol i multisig y sgwadiau, a ddefnyddir ar hyn o bryd ar gyfer uwchraddio rhaglenni. Fel amddiffyniad pellach, mae Radyium yn y broses o ddeall effaith y camddefnydd ar y pyllau ar gyfer balansau LP defnyddwyr. Yn ogystal, mae waledi ymosodwyr hefyd yn cael eu holrhain wrth sgorio ffyrdd o ddychwelyd arian. Ar gyfer materion lefel ymhellach, mae Radyium yn cymryd cymorth rhai timau Solana, archwilwyr trydydd parti, a chyfnewidfeydd canolog. Mae bounty o 3% hefyd yn cael ei gynnig yn lle arian sy'n dychwelyd.
Ffynhonnell: https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/