ហិរញ្ញវត្ថុ

របាយការណ៍ Post Mortem ច្បាស់លាស់នៃការកេងប្រវ័ញ្ចរបស់ Raydium Liquidity Pool V4

12/19/2022
ព័ត៌មាន Bitcoin Ethereum

អ្នកវាយប្រហារដ៏កាចសាហាវ និងមានការតាំងចិត្តច្រើនបានធ្វើសកម្មភាពមិនសមរម្យដោយប្រើគណនីអាជ្ញាធររបស់ Raydium Liquidity Pool V4 ។ ទោះជាយ៉ាងណាក៏ដោយ នេះត្រូវបានសម្រេចដោយការភ្ជាប់ជាមួយម្ចាស់អាង ឬគណនីរដ្ឋបាល។ ទោះយ៉ាងណាក៏ដោយ នៅក្នុងសេណារីយ៉ូនៃគណនីម្ចាស់អាងនេះ ដើមឡើយវាត្រូវបានដាក់នៅលើម៉ាស៊ីននិម្មិតដែលមានម៉ាស៊ីនមេខាងក្នុងជាក់លាក់។

ទោះបីជាការពិតទាំងអស់ដែលបានប្រមូលផ្តុំនៅពេលនេះក៏ដោយ ក៏បច្ចុប្បន្នមានសវនកម្មសន្តិសុខផ្ទៃក្នុងកំពុងធ្វើឡើងក្នុងគោលបំណង និងចេតនាក្នុងការព្យាយាមបកស្រាយហេតុផលដែលអាចកើតមានទាំងអស់នៅពីក្រោយការចាត់ចែងគណនីដែលចោទជាសំណួរ។ ទោះជាយ៉ាងណាក៏ដោយ ការពិតនៃបញ្ហានេះនៅតែឈរជាមួយនឹងចំណេះដឹងថា នៅតែមានការលាតត្រដាងត្រឹមត្រូវនៃករណីនេះ ដែលនឹងប្រែទៅជាការយល់ដឹងកាន់តែច្បាស់ និងដោយអចេតនា។

ទោះជាយ៉ាងណាក៏ដោយ ដោយពិចារណាលើប៉ារ៉ាម៉ែត្រដែលមិនស្គាល់ទាំងអស់ អ្វីដែលច្បាស់នោះគឺថាអ្នកវាយប្រហារអាចប៉ះពាល់ដល់ផ្នែកសាច់ប្រាក់ងាយស្រួលផលិតផលចំនួនប្រាំបីនៅលើ Raydium យ៉ាងធ្ងន់ធ្ងរ។ ទោះជាយ៉ាងណាក៏ដោយនេះបណ្តាលឱ្យមានទឹកប្រាក់ប្រហែល 4.4 លានដុល្លារនៃមូលនិធិដែលត្រូវបានគេលួច។ លើសពីនេះ ព្រះគុណនៃការសន្សំគឺថា គ្មានអាង ឬមូលនិធិផ្សេងទៀតនៅលើ Raydium បានឃើញការក្លែងបន្លំណាមួយឡើយ។ 

អ្នកវាយប្រហារបានប្រើវិធីសាស្ត្រមូលដ្ឋានពីរក្នុងការកេងប្រវ័ញ្ច Radyium ។ វិធីមួយគឺនៅពេលដែលអ្នកវាយប្រហារអាចទាញយកអត្ថប្រយោជន៍ពីដំណើរការនៃការណែនាំដក PNL ដើម្បីដកប្រាក់ បន្ថែមទៀតនៅក្នុងទម្រង់នៃថ្លៃសេវាពីតុដេក។ នៅក្នុងករណីទីពីរ អ្នកវាយប្រហារបានប្រើប្រាស់ការណែនាំ SetParams សម្រាប់ការផ្លាស់ប្តូរ និងបង្កើនថ្លៃសេវាដែលរំពឹងទុក ដោយហេតុនេះអាចដកប្រាក់ចេញពីតុដេក។

Radiyum ជាផ្នែកមួយរបស់ខ្លួន ដើម្បីបញ្ឈប់អ្នកវាយប្រហារ បានដាក់បំណះក្តៅ ដែលជួយក្នុងការលុបចោលសិទ្ធិអំណាចនៃគណនីមុន និងធ្វើបច្ចុប្បន្នភាពវាទៅគណនីថ្មី។ បំណះ ក្នុងករណីនេះ សេណារីយ៉ូនេះ បានចាត់ទុកជាមោឃៈនូវសិទ្ធិអំណាចរបស់អ្នកវាយប្រហារ ដោយការពារការប្រើប្រាស់ខុសបន្ថែមទៀតនៃអាង។ បន្ទាប់ពីជំហានដំបូង កម្មវិធីត្រូវបានកម្រិតខ្ពស់ដោយមានជំនួយពី Squads multisig ដើម្បីលុបប៉ារ៉ាម៉ែត្ររដ្ឋបាលដែលមិនចង់បានដែលប៉ះពាល់ដល់មូលនិធិ។ 

លើសពីនេះ ប៉ារ៉ាម៉ែត្រមួយចំនួនដែលត្រូវបានដកចេញគឺ AmmParams::MinSize, AmmParams::SetLpSupply,AmmParams::SyncNeedTake និង AmmParams::SyncLp។

ប៉ារ៉ាម៉ែត្រគ្រប់គ្រងទាំងអស់ត្រូវបានធ្វើបច្ចុប្បន្នភាពយ៉ាងត្រឹមត្រូវទៅ squads multisig ដែលបច្ចុប្បន្នត្រូវបានប្រើប្រាស់សម្រាប់កម្មវិធីធ្វើឱ្យប្រសើរឡើង។ ក្នុងនាមជាការការពារបន្ថែមទៀត Radyium ស្ថិតនៅក្នុងដំណើរការនៃការយល់ដឹងអំពីឥទ្ធិពលនៃការក្លែងបន្លំនៅលើអាងសម្រាប់សមតុល្យ LP របស់អ្នកប្រើប្រាស់។ លើសពីនេះ កាបូបរបស់អ្នកវាយប្រហារក៏កំពុងត្រូវបានតាមដានផងដែរ ខណៈពេលដែលដាក់ពិន្ទុដើម្បីប្រគល់មូលនិធិមកវិញ។ សម្រាប់បញ្ហាកម្រិតបន្ថែមទៀត Radyium កំពុងទទួលយកជំនួយពីក្រុម Solana មួយចំនួន សវនករភាគីទី 3 និងការផ្លាស់ប្តូរកណ្តាល។ ប្រាក់រង្វាន់ 10% ក៏ត្រូវបានផ្តល់ជូនផងដែរ ជំនួសឱ្យមូលនិធិត្រឡប់មកវិញ។

ប្រភព៖ https://www.cryptonewsz.com/explicit-post-mortem-report-of-raydium-liquidity-pool-v4s-exploit/