အကျဉ်းခုနှစ်တွင်
- Web3 တေးဂီတပလက်ဖောင်းတစ်ခုဖြစ်သည့် Audius သည် Ethereum အခြေစိုက် AUDIO တိုကင်များအတွက် ဒေါ်လာ 6 သန်းကျော်တန်ဖိုးရှိသော စနေနေ့တွင် ဟက်ခ်ခံခဲ့ရသည်။
- တိုက်ခိုက်သူသည် တိုကင်များကို ETH ၏ $ 1.1 သန်းထက်နည်းသော တန်ဖိုးရှိ တိုကင်များကို လဲလှယ်ခဲ့ပြီး ETH ကို ငွေပေးငွေယူ ရောစပ်သည့် ဝန်ဆောင်မှုမှတစ်ဆင့် အသွင်ပြောင်းခဲ့သည်။
ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော တေးဂီတဝန်ဆောင်မှု က ဒေါ်လာ 6 သန်းကျော်တန်ဖိုးရှိသော AUDIO ကို hack ခဲ့သည်။ တိုကင် တိုက်ခိုက်သူသည် ၎င်း၏အုပ်ချုပ်မှုမှ ခိုးယူခဲ့သည့် သီတင်းပတ်ကုန်တွင်ဖြစ်သည်။ စမတ်စာချုပ်။ တစ်ဦးအတွက် သေဆုံးမှုအစီရင်ခံစာ တနင်္ဂနွေနေ့နှောင်းပိုင်းတွင် ထုတ်ပြန်သည့် ဝန်ဆောင်မှုသည် တိုက်ခိုက်မှုနှင့် တုံ့ပြန်မှုကို အသေးစိတ်ဖော်ပြထားပြီး ယခင်က လုံခြုံရေးစစ်ဆေးမှုများကြားမှ ရှာဖွေတွေ့ရှိခြင်းမရှိသော ချွတ်ယွင်းချက်အား အသုံးချခဲ့ကြောင်း မှတ်ချက်ပြုခဲ့သည်။
အစီရင်ခံစာအရ၊ ဟက်ကာသည် ဝန်ဆောင်မှုကို ကြိုးကိုင်ခွင့်ပေးသည့် စမတ်စာချုပ် ကနဦးကုဒ်တွင် bug တစ်ခုကို ပုတ်လိုက်ပါသည်။ Ethereum- အခြေခံအုပ်ချုပ်မှု၊ အစုရှယ်ယာများနှင့် ကိုယ်စားလှယ်အဖွဲ့ စာချုပ်များ။ စမတ်ကန်ထရိုက်ဆိုသည်မှာ ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော အပလီကေးရှင်းများကို စွမ်းအားပေးသည့်ကုဒ် (dapps) တွင် Web3အက်ပ်များ၊ ဂိမ်းများနှင့် ပရိုတိုကောများကို ဗဟိုချုပ်ကိုင်ထားသော ကြားခံများမပါဘဲ လုပ်ဆောင်နိုင်စေခြင်း။
အဆိုပါဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသောမော်ဒယ်ကိုပေးထားသောကြောင့် Audius သည် Ethereum-based ERC-20 ကိုအသုံးပြုသည်။ တိုကင် (AUDIO) ရပ်ရွာအုပ်ချုပ်ရေးကို ဖွင့်ပါ။ သို့သော်၊ ဤမော်ဒယ်ကို နောက်ဆုံးတွင် စနေနေ့တွင် အသုံးချခဲ့သည်။ အမြတ်ထုတ်မှုမှတစ်ဆင့်၊ တိုက်ခိုက်သူသည် Audius မဲပေးမှုပုံစံကို ပြောင်းလဲခဲ့ပြီး 10 ထရီလီယံ AUDIO တိုကင်များကို ၎င်းတို့၏ထံသို့ လွှဲအပ်ရန် နှစ်ကြိမ်ကြိုးစားခဲ့သည်။ ပိုက်ဆံအိတ် အုပ်ချုပ်ရေးဆိုင်ရာ အဆိုပြုချက်များကို တွန်းအားပေးရန်။
ပြဿနာကို တွေ့ရှိပြီး တည်ငြိမ်သော အခြေအနေသို့ ပြန်လည်ရောက်ရှိရန် ပြင်ဆင်မှုများ လုပ်ဆောင်နေပါသည်။
နောက်ထပ်ပျက်စီးဆုံးရှုံးမှုကိုကာကွယ်ရန်၊ တိုကင်အပါအဝင် Ethereum ရှိ Audius စမတ်စာချုပ်များအားလုံးကို ရပ်ဆိုင်းထားရမည်ဖြစ်သည်။
နောက်ထပ်ရန်ပုံငွေများ အန္တရာယ်ရှိနိုင်သည်ဟု ကျွန်ုပ်တို့ မယုံကြည်ပါ။
နောက်ထပ်မွမ်းမံမှုများ / ရင်ခွဲစစ်ဆေးမှုများမကြာမီ။ https://t.co/i3MM9WjjgE
— Audius ? (@AudiusProject) ဇူလိုင်လ 24, 2022
ဤရွေ့လျားမှုများသည် AUDIO တိုကင်များ၏ထောက်ပံ့မှုကိုမထိခိုက်စေဘဲ၊ ပလပ်ဖောင်း၏ကိုယ်ပိုင်တိုကင်လောင်းကြေးစနစ်သာလျှင်ဖြစ်သည်။ သို့သော်၊ ၎င်းသည် တိုက်ခိုက်သူအား အသိုင်းအဝိုင်း တိုကင်ပေါင်းကူးကန်တစ်ခုလုံးကို ပေးပို့သည့် အုပ်ချုပ်မှုအဆိုပြုချက်ကို အတည်ပြုခွင့်ပြုသည်-AUDIO တိုကင် 18.6 သန်းနီးပါး- ပြင်ပ Ethereum သို့ ပိုက်ဆံအိတ်. ဓါးပြတိုက်ချိန်တွင် တိုကင်များသည် စုပေါင်းအားဖြင့် ဒေါ်လာ 6.1 သန်းနီးပါး တန်ဖိုးရှိသည်။
Audius မှ မျှဝေထားသော အဖြစ်အပျက်များ၏ အချိန်ဇယားအရ၊ ပရောဂျက်အဖွဲ့သည် တိုကင်လွှဲပြောင်းပြီးနောက် 25 မိနစ်ခန့်တွင် တိုက်ခိုက်မှုကို သတိပေးခဲ့သည်။ ထို့နောက် အဖွဲ့သည် အမည်ဝှက်ဖြင့် အမြန်ခေါ်ဆောင်လာခဲ့သည်။ အဖြူရောင်ဦးထုပ်ဟက်ကာ samczsun VC ကုမ္ပဏီ Paradigm ၏—ရှိသူ အောင်မြင်စွာ တားဆီးနိုင်ခဲ့သည်။ တုံ့ပြန်မှုတွင်ကူညီရန် ယခင်က စမတ်ကျသောစာချုပ်ကို အသုံးချရန် ကြိုးပမ်းမှုများ။
exploit သည် အသက်ဝင်နေဆဲဖြစ်သည်ကို သိရှိသောအခါ၊ အဖွဲ့သည် ၎င်း၏အသုံးပြုမှုကို အဆုံးစွန်ထိ ရပ်တန့်ရန် တူညီသောအားနည်းချက်ကို ပြုပြင်မှုများ ပြုလုပ်ခဲ့ပြီး နောက်ထပ်တိုက်ခိုက်မှုများကို ရပ်တန့်ရန် နောက်နာရီများစွာကြာအောင် patch များကို အသုံးပြုခဲ့သည်။ အဖွဲ့သည် ယခုအပတ်တွင် ထပ်လောင်းအပ်ဒိတ်များဖြင့် ကတိပေးထားသည့် ရေရှည်ပြင်ဆင်မှုများကို လုပ်ဆောင်နေဆဲဖြစ်သည်။
သေဆုံးမှု အစီရင်ခံစာတွင်၊ Audius အဖွဲ့သည် ဓါးပြတိုက်မှုကို ဖွင့်ပေးနိုင်ပြီး/သို့မဟုတ် ၎င်း၏တုံ့ပြန်မှုကို နှေးကွေးစေနိုင်သည့် အလားအလာရှိသော ချို့ယွင်းချက်များ သို့မဟုတ် ကြီးကြပ်မှုများနှင့်ပတ်သက်၍ ပွင့်ပွင့်လင်းလင်း ပြောကြားခဲ့သည်။
ဥပမာအားဖြင့်၊ အဖွဲ့သည် ၎င်း၏ Solidity/Ethereum Virtual Machine (EVM) ကုဒ်တွင် တက်ကြွစွာ လုပ်ဆောင်ခြင်းမရှိသည်မှာ နှစ်နှစ်နီးပါးရှိပြီဖြစ်သည်။ “ဒီနေရာက အရာအားလုံးကို အရှိန်မြှင့်ဖို့ လူတွေ အချိန်ယူရတယ်” ဟု အဖွဲ့မှ ရေးသားခဲ့ပြီး ၎င်းသည် ရှေ့ဆက်ပြီး “နောက်ဆုံးပေါ် ဆော့ဖ်ဝဲ/အမှားပြင်ဆင်ခြင်းဆိုင်ရာ ကိရိယာတန်ဆာပလာများ၏ အနုပညာအခြေအနေနှင့် ပိုမိုကိုက်ညီနေလိမ့်မည်” ဟု ရေးသားခဲ့သည်။
သို့သော်၊ Audius စမတ်စာချုပ်များကို လုံခြုံရေးအဖွဲ့များက စစ်ဆေးခဲ့သည်—၂၀၂၀ ခုနှစ် သြဂုတ်လတွင် OpenZeppelin မှ ပထမအကြိမ် စစ်ဆေးခဲ့ပြီး၊ 2020 ခုနှစ် အောက်တိုဘာလတွင် Kudelski မှ ထပ်မံစစ်ဆေးခဲ့သော စာချုပ်များကို ထပ်မံစစ်ဆေးခဲ့သည်။ သို့တိုင်၊ အဆိုပါ အားနည်းချက်သည် စာချုပ်များကို ပထမဆုံးစပြီး နှစ်နှစ်နီးပါးကြာအောင် လူအများရှေ့တွင် ဖွင့်ထားဆဲဖြစ်သည်။ 2021 ခုနှစ် အောက်တိုဘာလတွင် စတင်အသုံးပြုခဲ့သည်။
“စစ်ဆေးမှုများသည် ကျည်ကာမဟုတ်ပါ၊ ပြဿနာများမရှိဘဲ တောရိုင်းထဲတွင် ကုန်ဆုံးသော စာချုပ်၏အချိန်သည် ယုံကြည်မှုတည်ဆောက်ရန် အထောက်အကူဖြစ်စေသော်လည်း အမြတ်ထုတ်ရန် အခွင့်အလမ်းများကို ဖယ်ထုတ်မည်မဟုတ်ကြောင်း” အဖွဲ့မှ ရေးသားခဲ့သည်။
တိုကင်များကို စုပေါင်းတန်ဖိုးအားဖြင့် ဒေါ်လာ 6 သန်းအထက်တွင်ရှိသော်လည်း တိုက်ခိုက်သူသည် ရန်ပုံငွေများကို ခဝါချရန် အလျင်အမြန်ဖြစ်ကောင်း ဖြစ်နိုင်ပြီး Ethereum ၏ အလွန်နိမ့်သောတန်ဖိုးဖြင့် ၎င်းတို့ကို လဲလှယ်ခဲ့သည်။ တိုကင်များကို 704 Wrapped Ethereum (WETH)—ဒေါ်လာ 1.07 သန်းဖိုး—ခန့်သာ အရောင်းအ၀ယ်လုပ်ခဲ့သည်။စနေနေ့ည မှတဆင့် ဖြူဖြူ, ဦး ဆောင် ကျတ်လဲလှယ်.
ထို့နောက် တိုက်ခိုက်သူသည် ETH အားလုံးနီးပါးကို ပေးပို့ခဲ့သည်။ လေဆင်နှာမောင်းငွေblockchain တစ်ခုပေါ်ရှိ crypto ရန်ပုံငွေများလမ်းကြောင်းကိုခြေရာခံရန်ပိုမိုခက်ခဲစေရန်အများအပြားလွှဲပြောင်းမှုများမှဒင်္ဂါးပြားများကိုပေါင်းစပ်သောရောစပ်ဝန်ဆောင်မှုတစ်ခုဖြစ်သည်။
crypto သတင်းများ၏ထိပ်ဆုံးတွင်နေပါ၊ သင်၏ဝင်စာပုံးတွင်နေ့စဉ်အပ်ဒိတ်များကိုရယူပါ။
အရင်းအမြစ်- https://decrypt.co/105913/how-audius-was-hacked-6m-ethereum-tokens