Đội ngũ kỹ thuật của sàn giao dịch phi tập trung Raydium đã công bố chi tiết về cách thức xảy ra vụ hack vào ngày 16 tháng 12 và đưa ra đề xuất bồi thường cho các nạn nhân.
Theo đó một bài đăng trên diễn đàn chính thức từ nhóm cho biết, tin tặc đã có thể kiếm được hơn 2 triệu đô la bằng cách khai thác lỗ hổng trong Smart contracts cho phép quản trị viên rút toàn bộ pool thanh khoản.
Theo một báo cáo điều tra, bước đầu tiên của kẻ tấn công trong quá trình khai thác là giành quyền kiểm soát private key của nhóm quản trị viên. Họ chưa rõ làm cách nào mà những kẻ hacker đã lấy được private key này, nhưng họ nghi ngờ rằng máy ảo có chứa key đã bị nhiễm chương trình trojan.
Sau khi kẻ tấn công có private key, chúng gọi một chức năng để rút phí giao dịch, phí này thường sẽ được chuyển đến kho bạc của DAO để sử dụng cho việc mua lại RAY. Trên Raydium, phí giao dịch không tự động chuyển đến kho bạc tại thời điểm hoán đổi. Thay vào đó, chúng vẫn ở trong pool của nhà cung cấp thanh khoản cho đến khi được quản trị viên rút. Tuy nhiên, Smart contracts theo dõi số tiền phí mà DAO phải trả thông qua các tham số. Điều này lẽ ra đã ngăn kẻ tấn công không thể rút hơn 0,03% tổng khối lượng giao dịch đã xảy ra trong mỗi pool kể từ lần rút cuối cùng.
Tuy nhiên, do một lỗ hổng trong Smart contracts, kẻ tấn công đã có thể thay đổi các tham số theo cách thủ công, khiến toàn bộ pool thanh khoản là phí giao dịch. Từ đó cho phép kẻ tấn công rút tất cả số tiền. Sau khi tiền đã được rút, kẻ tấn công có thể đã hoán đổi chúng để lấy các mã thông báo khác và chuyển số tiền thu được sang các ví khác dưới sự kiểm soát của chúng.
Trước mắt để đối phó với việc khai thác, nhóm phát triển đã nâng cấp các Smart contracts để loại bỏ quyền kiểm soát của quản trị viên đối với các tham số đã bị kẻ tấn công khai thác.
Trong bài đăng khác trên diễn đàn ngày 21 tháng 12 , nhà phát triển của Raydium thông báo sẽ sử dụng token đã unlock của riêng mình để bồi thường cho những nạn nhân bị mất token của Raydium là Ray. Tuy nhiên, nhà phát triển không có Stablecoin và các mã thông báo không phải RAY khác để bồi thường cho các nạn nhân, vì vậy họ đang yêu cầu một cuộc bỏ phiếu từ những người nắm giữ RAY để sử dụng kho dự trữ mua lại các mã thông báo còn thiếu và hoàn trả cho những người bị ảnh hưởng khác. Nhóm đang yêu cầu tổ chức một cuộc thảo luận kéo dài ba ngày để quyết định vấn đề.
Đọc thêm:
- Vitalik Buterin tiết lộ 3 cơ hội ‘khủng’ cho tiền điện tử vào năm 2023
- USDT mới là mối lo ngại lớn cho tiền điện tử
GócTiềnẢo
Tham gia thảo luận cùng GTA team và săn kèo Gem, IDO, cập nhật tin tức thị trường nhanh nhất tại:
Channel News: https://t.me/goctienao
Channel Trading: https://t.me/gta_trading_channel