Attacker သည် Marketplace Exploit ကို အသုံးချခြင်းဖြင့် NFT 100 ကျော်အတွက် Arbitrum ၏ Treasure DAO ကို Hack သည်

Attacker Hacks Arbitrum's Treasure DAO for Over 100 NFTs by Leveraging Marketplace Exploit

Treasure DAO ဟုခေါ်သော Arbitrum ၏ထိပ်တွင်တည်ဆောက်ထားသော မှိုကင်မရသော တိုကင်စျေးကွက်ပလပ်ဖောင်းတစ်ခုကို မတ်လ 3 ရက်နေ့ နံနက် 7:33 နာရီ (EST) တွင် ဟက်ခ်ခံရကြောင်း လုံခြုံရေးကိုအာရုံစိုက်သည့်ကုမ္ပဏီ Certik မှရေးသားသော post mortem ခွဲခြမ်းစိတ်ဖြာချက်တစ်ခုအရ သိရသည်။ တိုက်ခိုက်သူသည် စျေးကွက်၏ "ဝယ်သူဝယ်သည့်ပစ္စည်း" လုပ်ဆောင်ချက်တွင် အားနည်းချက်တစ်ခုကို အသုံးချခြင်းဖြင့် "တိုက်ခိုက်မှုတွင် NFT 100 ကျော် ခိုးယူခံခဲ့ရသည်" ဟု ကုမ္ပဏီ၏အစီရင်ခံစာတွင် မှတ်သားထားသည်။

Certik မှ Post Mortem ခွဲခြမ်းစိတ်ဖြာချက်သည် NFT 100 ကျော်အတွက် အမြတ်တနိုးထားသော DAO ၏ Arbitrum NFT ကုန်သွယ်မှုပလပ်ဖောင်းကို ပြသသည်

ထိပ်တန်း Arbitrum NFT စျေးကွက် Treasure DAO သည် “သံသယမရှိသောအသုံးပြုသူများထံမှ 100 NFTs များ” ဆုံးရှုံးသွားသည့် အမြတ်ထုတ်မှုကို ရှာဖွေတွေ့ရှိပြီးနောက် ကြာသပတေးနေ့တွင် တိုက်ခိုက်ခံခဲ့ရသည်။ တိုက်ခိုက်မှုကို ခွဲခြမ်းစိတ်ဖြာခြင်းအား စမတ်စာချုပ်များ၊ blockchain နည်းပညာနှင့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော ဘဏ္ဍာရေးဆိုင်ရာ (defi) ပရိုတိုကောများကို ခွဲခြမ်းစိတ်ဖြာခြင်း၊ စောင့်ကြည့်ခြင်းနှင့် အကဲဖြတ်သည့် ကုမ္ပဏီတစ်ခုဖြစ်သည့် blockchain လုံခြုံရေးကုမ္ပဏီ Certik မှ တိုက်ခိုက်မှု၏ ခွဲခြမ်းစိတ်ဖြာမှုကို Bitcoin.com News သို့ ပေးပို့ခဲ့သည်။

"Arbitrum ရှိ NFT ကုန်သွယ်မှုပလပ်ဖောင်းတစ်ခုဖြစ်သည့် Treasure DAO ကို အမည်မသိတိုက်ခိုက်သူမှ ပလပ်ဖောင်း၏ကုဒ်တွင် ချို့ယွင်းချက်တစ်ခုမှ အခွင့်ကောင်းယူခဲ့သည်" Certik ၏ ခွဲခြမ်းစိတ်ဖြာမှုအသေးစိတ်များ။ “အမြတ်ထုတ်မှုက သံသယမရှိသောအသုံးပြုသူများထံမှ NFTs 100 ကျော် ဆုံးရှုံးခဲ့ရသည်။ Twitter တွင် ဟက်ကာ၏ ပိုက်ဆံအိတ်ကို ကနဦးပိုင်းခြားစိတ်ဖြာမှုအချို့နှင့် ခြေရာခံပြီးနောက်၊ ခိုးယူထားသော NFT အများအပြားကို ပြန်လည်ရရှိခဲ့သည်။"

Attacker သည် Marketplace Exploit ကိုအသုံးချခြင်းဖြင့် NFT 100 ကျော်အတွက် Arbitrum ၏ Treasure DAO ကို Hack သည် — "တိုက်ခိုက်သူသည် စျေးကွက်၏ Buyer.buyItem လုပ်ဆောင်ချက်တွင် အမှားအယွင်းတစ်ခုမှ အခွင့်ကောင်းယူကာ _quantity ကို 0 နှင့်ညီမျှအောင် သတ်မှတ်နိုင်စေခဲ့သည်" ဟု Certik ၏ စစ်ဆေးမှုတွင် ဖော်ပြထားသည်။ "0 ပမာဏဖြင့်၊ စုစုပေါင်းစျေးနှုန်းသည် 0 ဖြစ်ပြီး၊ စုစုပေါင်းစျေးနှုန်း = _pricePerItem * _quantity အဖြစ်။ ဆိုလိုသည်မှာ တိုက်ခိုက်သူသည် ၎င်းတို့ 'ဝယ်ထားသော NFTs' များအတွက် ဘာမှမပေးချေဟု ဆိုလိုသည်။ _quantity > 0 သည် လိုအပ်ချက်မရှိသောကြောင့်၊ function သည် ပုံမှန်အတိုင်းလုပ်ဆောင်သည်။ _quantity variable အတွက် 0 တန်ဖိုးထက် ကြီးသောတန်ဖိုးကို လိုအပ်ခြင်းဖြင့် ဤချွတ်ယွင်းချက်ကို ဖြေရှင်းနိုင်ပါသည်။"

ထို့အပြင်၊ Treasure DAO အခြေအနေအပေါ် Certik ၏ခွဲခြမ်းစိတ်ဖြာမှုသည် ပရိုတိုကော၏ မူရင်းတိုကင် MAGIC သည် US ဒေါ်လာနှင့် 40% ကျော် ဆုံးရှုံးသွားကြောင်း မှတ်သားထားသည်။ Treasure DAO ပူးတွဲတည်ထောင်သူ John Patten လည်းဖြစ်သည်။ Tweet တိုက်ခိုက်သူသည် ရန်ပုံငွေများကို ခိုးယူပြီးနောက် အဖြစ်အပျက်နှင့် ပတ်သက်သည်။ “ရတနာဈေးကို အသုံးချနေတယ်။ ကျေးဇူးပြု၍ သင့်ပစ္စည်းများကို ထုတ်ပယ်ပါ။ အမြတ်ထုတ်ခြင်း၏ကုန်ကျစရိတ်များကိုကျွန်ုပ်တို့ကာမိပါမည်—၎င်းကိုပြုပြင်ရန်အတွက်ကျွန်ုပ်၏ Smols များအားလုံးကိုကျွန်တော်ကိုယ်တိုင်စွန့်လွှတ်ပါမည်၊” ဟု Patten မှပြောကြားခဲ့သည်။ Treasure DAO ပူးတွဲတည်ထောင်သူမှ ထပ်လောင်းပြောကြားပါသည်။

ဓားပြမှုများအတွက် တရားမျှတသော ဖြန့်ချိရေးစျေးကွက်ကို လူယုတ်မာများက ပစ်မှတ်ထားနေသည်ကို ကျွန်ုပ်နားမလည်နိုင်သော်လည်း ၎င်းတို့သည် အသိုင်းအဝိုင်းကို အနိုင်ယူမည်မဟုတ်ပါ။

Certik မှဆက်လက်လုပ်ဆောင်နေသော On-Chain ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် Pre-Deployment Audits သည်အနာဂတ် Blockchain Protocol အမြတ်ထုတ်ခြင်းကိုတားဆီးနိုင်သည်

Certik လုံခြုံရေးလေ့လာသုံးသပ်သူများသည် အမြတ်ထုတ်ခြင်း၏နောက်ကွယ်တွင် မည်သူမည်ဝါဖြစ်သည်ကို မည်သူမျှမသိကြသော်လည်း သုံးစွဲသူအများအပြားသည် "ခိုးယူထားသော NFTs များကို ပြန်လည်ရရှိသည့်အတွက် ဝမ်းသာမိပါသည်။" ကုဒ်တစ်ကြောင်းကို အသုံးချရုံဖြင့် သိသာထင်ရှားသော ဆုံးရှုံးမှုများ ဖြစ်ပွားနိုင်သည်ဟု ကုမ္ပဏီ၏ ရင်ခွဲစစ်ဆေးမှု အကျဉ်းချုပ်တွင် နိဂုံးချုပ်ထားသည်။ ကုမ္ပဏီသည် သတ်မှတ်ထားသော blockchain ပရိုတိုကောများနှင့် ဖြန့်ကျက်မှုအကြိုစစ်ဆေးခြင်းများကို ကွင်းဆက်ကွင်းဆက်စောင့်ကြည့်ခြင်းကို အပြည့်အဝယုံကြည်ပြီး အနာဂတ်အားနည်းချက်များကို ရပ်တန့်စေသည်။

“ဤဟက်ကာသည် ကုဒ်လိုင်းတစ်ခုတွင်ရှိနိုင်သည့် ဒေါ်လာသန်းပေါင်းများစွာတန်သော အကျိုးသက်ရောက်မှုများကို ထပ်မံမီးမောင်းထိုးပြသည်” ဟု Certik ၏အစီရင်ခံစာက နိဂုံးချုပ်ထားသည်။ "ဆက်လက်လုပ်ဆောင်နေသော ကွင်းဆက်ခွဲခြမ်းစိတ်ဖြာမှုများနှင့် ပေါင်းစပ်ထားသော နှံ့နှံ့စပ်စပ် အကြိုစာရင်းစစ်သည် Web3 ပရောဂျက်များအတွက် လုံခြုံရေးအတွက် ၎င်းတို့၏ ကတိကဝတ်များကို ပြသရန်နှင့် ၎င်းတို့၏ ရန်ပုံငွေများသည် သုံးစွဲသူများအား လုံခြုံကြောင်း အာမခံရန် အကောင်းဆုံးနည်းလမ်းဖြစ်သည်။"

ဒီပုံပြင်ထဲမှာ Tags

100 NFTs၊ Arbitrum၊ Arbitrum Chain၊ တိုက်ခိုက်သူ၊ Blockchain လုံခြုံရေး၊ bug Treasure DAO၊ certik၊ Certik ခွဲခြမ်းစိတ်ဖြာမှု၊ Certik post mortem၊ Certik လုံခြုံရေး၊ ဟက်ကာ၊ ဟက်ကာ၊ John Patten၊ MAGIC၊ Magic တိုကင်၊ nft၊ NFT ဟက်ခ်၊ NFT စျေးကွက်၊ NFT စျေးကွက်၊ NFTs၊ Treasure DAO၊ Treasure DAO ချွတ်ယွင်းချက်၊ Treasure DAO exploit၊ Treasure DAO ဟက်ခ်၊ Web3 ပရောဂျက်များ

Treasure DAO ဟက်ကာနှင့် Certik ၏ ရင်ခွဲစစ်ဆေးခြင်းအစီရင်ခံစာနှင့် ပတ်သက်၍ သင်မည်သို့ထင်သနည်း။ အောက်ဖော်ပြပါ မှတ်ချက်များကဏ္ဍတွင် ဤအကြောင်းအရာနှင့်ပတ်သက်၍ သင်မည်သို့ထင်မြင်ကြောင်း ကျွန်ုပ်တို့အား အသိပေးပါ။

ဂျေမီ Redman

Jamie Redman သည် Bitcoin.com News တွင် သတင်းဦး ဆောင်သူဖြစ်ပြီး ဖလော်ရီဒါတွင် နေထိုင်သော ဘဏ္ဍာရေးနည်းပညာ သတင်းထောက်ဖြစ်သည်။ Redman သည် 2011 ခုနှစ်ကတည်းက cryptocurrency အသိုက်အဝန်း၏တက်ကြွသောအဖွဲ့ဝင်ဖြစ်ခဲ့သည်။ သူသည် Bitcoin၊ open-source code နှင့် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော applications များကို နှစ်သက်သည်။ 2015 ခုနှစ် စက်တင်ဘာလကတည်းက Redman သည် ယနေ့ပေါ်ပေါက်လာသော အနှောင့်အယှက်ဖြစ်စေသော ပရိုတိုကောများအကြောင်း Bitcoin.com သတင်းအတွက် ဆောင်းပါး 5,000 ကျော် ရေးသားခဲ့သည်။