攻撃者は、流動性プール全体を “手数料 “として引き出すことができるエクスプロイトを利用した。
Raydiumは被害者への補填へ
分散型取引所(DEX)「Raydium」を運営するチームは、12月16日に発生したハッキングの詳細について発表し、被害者への補償案を提示した。
1/ Update on remediation of funds for recent exploit
First, thanks for everyone’s patience up to now
An initial proposal on a way forward has been posted for discussion. Raydium encourages and appreciates all feedback on the proposal.https://t.co/NwV43gEuI9
— Raydium (@RaydiumProtocol) December 21, 2022
チームの公式フォーラムの投稿によると、ハッカーはDEXのスマートコントラクトの脆弱性を利用し、流動性プール全体を管理者が引き出すことを可能にし、そのような行為を防ぐための既存の保護があるにもかかわらず、200万ドル(約2億6600万円)以上の仮想通貨を持ち去ることができたという。
チームは、Raydiumトークン(別名RAY)を失った被害者に補償するために、独自のアンロックトークンを使用する予定だ。
しかし、開発者は被害者を補償するためのステーブルコインや 他の非RAYトークンを持っていないため、エクスプロイトの影響を受けた人に返済するために、分散型自律組織(DAO)の国庫を使用して不足するトークンを購入するようRAYホルダーから投票を求めている。
調査によってハッキング手口が徐々に明らかになっている
別の事後調査によると、攻撃者がこのエクスプロイトで最初に行ったのは、adminプールの秘密鍵の制御を得ることだった。
200万ドルのRaydiumのハッキングは、12月16日に初めて発見された。
当初の報道では、攻撃者はwrawel_pnl関数を使って、LPトークンを預けずにプールから流動性を取り除いていたとされていた。
しかし、この関数は攻撃者が取引手数料を取り除くことしかできないはずなので、実際にプール全体を流出させることができる方法は、調査が行われるまでわからなかった。
\無料アプリを使って/
