မတ်လ 15 ရက်နေ့တွင် တိုက်ခိုက်သူ စုပ်ယူလိုက်သည်။ နှစ်ခုမှ ဒေါ်လာ ၁၁ သန်းကျော် Defy ပလက်ဖောင်းများ၊ agave နှင့် ငွေတစ်ရာ. ၎င်းသည် ပရိုတိုကောနှစ်ခုလုံးတွင် flash loan 'reentrancy attack' ဖြစ်ပုံရသည်။ Gnosis ကွင်းဆက် စုံစမ်းစစ်ဆေးမှုအရ။ အလားတူပင်၊ ပလပ်ဖောင်းများသည် နောက်ထပ် ပျက်စီးဆုံးရှုံးမှုများကို တားဆီးရန် ၎င်းတို့၏ စာချုပ်များကို ရပ်ဆိုင်းခဲ့သည်။
ပျက်စီးဆုံးရှုံးမှုကိုအကဲဖြတ်
Solidity developer နှင့် ဖန်တီးသူ NFT ငွေဖြစ်လွယ်မှု ပရိုတိုကောအက်ပ်၊ Shegen မတ်လ 16 ရက်နေ့တွင် တွစ်တာများတွင် ဟက်ခ်ကို မီးမောင်းထိုးပြရန် ရွေးချယ်ခဲ့သည်။ အံ့သြစရာကောင်းသည်မှာ၊ အထက်ဖော်ပြပါအဖွဲ့အစည်းသည် တူညီသောအမြတ်ထုတ်မှုတွင် $225,000 ဆုံးရှုံးပြီးနောက် ဤခွဲခြမ်းစိတ်ဖြာမှုထွက်ပေါ်လာခြင်းဖြစ်သည်။
အပေါ်မှာ ကောင်းတဲ့ ဆောင်းပါးတွေ ရှိပြီးသား (တချို့ ဆိုးတာက စောလွန်းတယ်) @Agave_lending နှင့် @HundredFinance ယနေ့ဟက်ခ်များ။
ဤသည်မှာ ကျွန်ုပ်၏ ခွဲခြမ်းစိတ်ဖြာမှုနှင့် ရောင်ပြန်ဟပ်မှု၊ အမြတ်ထုတ်မှုမှ ဒေါ်လာ 225k ကျော် ဆုံးရှုံးခဲ့ပြီး ဘာဖြစ်ခဲ့သည်ကို စူးစမ်းလေ့လာပြီးနောက် ဤအရာဖြစ်သည်။
— Shegen (@shegenerates) မတ်လ 15, 2022
သူမ၏ ပဏာမစုံစမ်းစစ်ဆေးမှုများသည် Gnosis Chain ရှိ wETH စာချုပ်လုပ်ဆောင်ချက်ကို အသုံးချခြင်းဖြင့် တိုက်ခိုက်မှုသည် လုပ်ဆောင်ခဲ့ကြောင်း ဖော်ပြခဲ့သည်။ ၎င်းသည် အက်ပ်များမှ အကြွေးများကို မတွက်ချက်မီတွင် တိုက်ခိုက်သူအား crypto ကို ဆက်လက်ချေးယူနိုင်စေကာ နောက်ထပ်ချေးယူခြင်းကို တားဆီးနိုင်မည်ဖြစ်သည်။ Ergo၊ တရားခံသည် ပရိုတိုကောများမှ ရန်ပုံငွေများ မကုန်မချင်း ၎င်းတို့တင်ထားသော တူညီသော အပေါင်ပစ္စည်းကို ချေးခြင်းဖြင့် အဆိုပါ အမြတ်ထုတ်မှုကို သယ်ဆောင်ခဲ့သည်။
ပိုဆိုးအောင်လုပ်ဖို့၊ ရန်ပုံငွေတွေက မလုံခြုံဘူး။ 'သူတို့က တော်တော်ကို ထာဝရ ပျောက်ကွယ်သွားပေမယ့် မျှော်လင့်ချက်တော့ ရှိနေတုန်းပဲ၊ ကဆက်ပြောသည်. Gnosis ကိုတည်ထောင်သူ Martin Koppelmann သည် မငြိမ်မသက်မှုများကြားတွင် သေချာမှုအချို့ရှိလာစေရန် တွစ်တာရေးသားခဲ့သည်။ Koppelmann က အခိုင်အမာ ပြောကြားခဲ့သည်။
ကတိတွေ မပေးနိုင်ဘူး၊ ဖြစ်ပျက်ခဲ့တာကို အရင်ဆုံး နားလည်သင့်တယ်။ သို့သော် ကျွန်ုပ်သည် ယေဘူယျအားဖြင့် ကျွန်ုပ်သည် ရန်ပုံငွေများ ချေးယူခြင်း/ ရင်းနှီးမြုပ်နှံမှု ရန်ပုံငွေများအတွင်းသို့ ချေးယူခြင်းဖြင့် အသုံးပြုသူများ ရန်ပုံငွေဆုံးရှုံးခြင်းမှ ကာကွယ်ရန် ကြိုးစားမည့် GnosisDAO အဆိုပြုချက်ကို ယေဘူယျအားဖြင့် ထောက်ခံအားပေးပါမည်။ @Agave_lending
- Martin Köppelmann ?? (@koeppelmann) မတ်လ 15, 2022
နောက်ထပ် သုတေသနပြုပြီးနောက်၊ တိုက်ခိုက်သူသည် ဤစာချုပ်ကို လုပ်ဆောင်ချက် 3 ခုဖြင့် အသုံးချခဲ့သည်ဟု စွပ်စွဲခဲ့သည်။ လုပ်ကွက် 21120283 နှင့် 21120284 တွင်၊ ဟက်ကာသည် သက်ရောက်မှုရှိသော ပရိုတိုကော Agave နှင့် တိုက်ရိုက် အပြန်အလှန်တုံ့ပြန်ရန် စာချုပ်ကို အသုံးပြုခဲ့သည်။ Agave ရှိ စမတ်ကျသော စာချုပ်သည် ဒေါ်လာ 18.4 ဘီလီယံ ရရှိထားသည့် Aave နှင့် တူညီပါသည်။
အမြတ်ထုတ်ခြင်း မရှိကြောင်း သတင်းရရှိပါသည်။ သရဲAgave ကို ဘယ်လို ညှစ်ထုတ်နိုင်မလဲ။ ကောင်းပြီ၊ ဒါကတစ်ခု အကျဉ်းချုပ် "မရည်ရွယ်ဘဲ" အန္တရာယ်ကင်းသောနည်းလမ်းဖြင့် အသုံးပြုခဲ့ပုံ။
တစ်စုံတစ်ဦးမှ Weth ကို GC သို့ ပထမဦးဆုံးပြောင်းရွေ့သည့်အကြိမ်တွင် weth စာချုပ်ကို အသုံးပြုခဲ့သည်။ တံတားပေါ်မှ တိုကင်အသစ်တစ်ခု ယူလာတိုင်း၊ ၎င်းအတွက် တိုကင်စာချုပ်အသစ်ကို ဖန်တီးပါသည်။
callAfterTransfer လုပ်ဆောင်ချက်သည် သင့်အား တိုကင်များကို တံတားသို့ တိုက်ရိုက်ပေးပို့ခြင်းနှင့် ၎င်းတို့ကို ထာဝရဆုံးရှုံးခြင်းမှ တားဆီးပေးပါသည်။ pic.twitter.com/ZiAZAcTtSI
— Shegen (@shegenerates) မတ်လ 15, 2022
အဆိုပါဟက်ကာသည် ၎င်းတို့၏ အပေါင်ပစ္စည်းထက် ပိုမိုချေးယူနိုင်ခဲ့သည်။ ထို့ကြောင့် ချေးယူနိုင်သော ပစ္စည်းအားလုံးနှင့် ဝေးရာသို့ လျှောက်သွားခဲ့သည်။
ချေးထားသောပိုင်ဆိုင်မှုများတွင် 2,728.9 WETH၊ 243,423 USDC၊ 24,563 LINK၊ 16.76 WBTC၊ 8,400 GNO နှင့် 347,787 WXDAI တို့ ပါဝင်သည်။ ယေဘုယျအားဖြင့်၊ ဟက်ကာသည် ခန့်မှန်းခြေအားဖြင့် ဒေါ်လာ ၁၁ သန်းဖြင့် ထုတ်ယူခဲ့သည်။
မည်သို့ပင်ဆိုစေကာမူ Shegen သည် တိုက်ခိုက်မှုကို တားဆီးရန် ပျက်ကွက်မှုအတွက် Agave developer များကို အပြစ်မတင်ပါ။ developer များသည် လုံခြုံပြီး လုံခြုံသော AAVE-based ကုဒ်ကို လုပ်ဆောင်ခဲ့သည်ဟု သူမက ဆိုသည်။ သို့ပေမယ့် အသုံးပြုခံ့ မလုံခြုံသော တိုကင်များဖြင့်၊ မလုံခြုံသောနည်းလမ်းဖြင့်။
"GC ရှိ DeFi ပရိုတိုကောအားလုံးသည် လက်ရှိပေါင်းကူးထားသော တိုကင်များကို အသစ်အသစ်များအတွက် လဲလှယ်သင့်သည်" ဟု သူမက နိဂုံးချုပ်ခဲ့သည်။
Blockchain လုံခြုံရေးသုတေသီ Mudit Gupta ထပ်လောင်း အမြတ်ထုတ်ခြင်း၏ နောက်ကွယ်တွင် အလားတူ အကြောင်းရင်းတစ်ခု ဖြစ်သည်။
Agave နှင့် Hundred Finance ကို ယနေ့ Gnosis ကွင်းဆက် (ယခင် xDAI) တွင် အသုံးချခဲ့သည်။
ဟက်ခ်ရခြင်း၏ အရင်းခံအကြောင်းရင်းမှာ Gnosis ရှိတရားဝင် ပေါင်းစပ်ထားသော တိုကင်များသည် စံမမီဘဲ လွှဲပြောင်းမှုတိုင်းတွင် တိုကင်လက်ခံသူကို ခေါ်သည့် အချိတ်တစ်ခုပါရှိသည်။ ၎င်းသည် ပြန်လည်ဝင်ရောက်ခြင်း တိုက်ခိုက်မှုများကို လုပ်ဆောင်နိုင်သည်။ pic.twitter.com/8MU8Pi9RQT
- Mudit Gupta (@Mudit__Gupta) မတ်လ 15, 2022
အရင်းအမြစ်- https://ambcrypto.com/how-these-two-defi-protocols-fell-prey-to-11-million-reentrancy-attack/