သဟဇာတပွင့်လင်းမြန်ဆန်သော layer-1 blockchain သည် နှစ်လမ်းသွားကို ကမ်းလှမ်းသည်။ Ethereum တံတား၊ ခံစားခဲ့ရသည် ဇွန်လ 24 ရက်နေ့တွင် ကံမကောင်းအကြောင်းမလှစွာဟက်ခ်။ Ethereum သို့ ၎င်း၏ ကွင်းဆက်ဖြတ်ကျော်တံတားဖြစ်သော Horizon သည် ETH တွင် ဒေါ်လာ သန်း 100 နီးပါးတန်သော ဤအမြတ်ထုတ်မှုကို မှတ်တမ်းတင်ခဲ့သည်။ ပလက်ဖောင်းသည် ထိခိုက်နေသော တံတားကို ရပ်တန့်ထားသော်လည်း မေးခွန်းအချို့မှာ အဖြေမထွက်သေးပါ။
အခြေအနေကို ပိုမိုကောင်းမွန်စွာ ဆုပ်ကိုင်နိုင်ရန်၊ ဤဟက်ခ်ကို ဖြစ်ပေါ်စေသည့် အကြောင်းရင်းကို နက်နဲစွာ စေ့စေ့ငုကြည့်ပါမည်။
ပိုင်ရှင်ကို ဖော်ထုတ်ပြမှာလား။
လုံခြုံရေးဆိုင်ရာ ကျွမ်းကျင်သူများ၊ CertiK ဇွန်လ (၂၅)ရက်နေ့က ဘလော့ဂ်မှာ တင်ခဲ့တဲ့ အဖွဲ့၊ shared ဓါးပြတိုက်ခြင်းသို့ ဦးတည်စေသော အဓိကဖြစ်ရပ်များကို မီးမောင်းထိုးပြသည့် နက်နဲသော ခွဲခြမ်းစိတ်ဖြာမှု။ ကျော်ကြားသောသတင်းအေဂျင်စီတစ်ခုဖြစ်သည့် Wu Blockchain သည် နောက်ပိုင်းတွင် ယင်းတိုးတက်မှုကို ၎င်း၏ Twitter ဖိဒ်တွင် ပြန်လည်မျှဝေခဲ့သည်။
Certik- တိုက်ခိုက်သူသည် Harmony ရှိ တံတားမှ တိုကင်အမြောက်အမြားကို လွှဲပြောင်းရန်အတွက် confirmTransaction() ကို တိုက်ရိုက်ခေါ်ဆိုရန် MultiSigWallet ၏ပိုင်ရှင်အား တနည်းနည်းဖြင့် ထိန်းချုပ်ခြင်းဖြင့် ၎င်းကို ပြီးမြောက်အောင်မြင်ခဲ့ပါသည်။ https://t.co/M1VNahGKcQ
- ဝူ Blockchain (@WuBlockchain) ဇြန္လ 24, 2022
အကြိုသုံးသပ်ချက် ဟန်ပြ အစွပ်စွဲလိပ်စာ ၁၁ အရောင်းအ အမျိုးမျိုးသောတိုကင်များအတွက်တံတားမှ။ ထို့အပြင်၊ တစ်ဦးချင်းစီမှ တိုကင်များ ပေးပို့ခဲ့သည်။ ကွဲပြားခြားနားတဲ့ ETH အတွက် လဲလှယ်ရန် ပိုက်ဆံအိတ် ဖြူဖြူ ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသောလဲလှယ်မှု (DEX) ထို့နောက် ETH ကို မူရင်းပိုက်ဆံအိတ်သို့ ပြန်ပို့သည်။
အချို့ပြီးနောက် နောက်ထပ် စုံစမ်းစစ်ဆေးမှုကျွမ်းကျင်သူ ခွဲခြမ်းစိတ်ဖြာမှုမှ တိုက်ခိုက်မှု အရောင်းအ၀ယ် ၁၂ ခုနှင့် တိုက်ခိုက်မှုလိပ်စာ ၃ ခုကို ဖော်ထုတ်ခဲ့သည်။ ဤငွေပေးငွေယူများတစ်လျှောက်တွင် တိုက်ခိုက်သူသည် ETH၊ USDC၊ WBTC၊ USDT၊ DAI၊ BUSD၊ AAG၊ FXS၊ SUSHI၊ AAVE၊ WETH နှင့် FRAX အပါအဝင် တံတားပေါ်တွင် တိုကင်မျိုးစုံကို ပိုက်ကွန်များ တပ်ဆင်ခဲ့သည်။
"တိုက်ခိုက်သူသည် Harmony ရှိ တံတားမှ တိုကင်အမြောက်အမြားကို တိုက်ရိုက်လွှဲပြောင်းရန် confirmTransaction() ကိုခေါ်ဆိုရန် MultiSigWallet ၏ပိုင်ရှင်ကို တစ်နည်းနည်းဖြင့် ထိန်းချုပ်ခြင်းဖြင့် ၎င်းကို ပြီးမြောက်အောင်မြင်ခဲ့ပါသည်။ ယင်းကြောင့် တိုက်ခိုက်သူသည် ပင်မလိပ်စာတစ်ခုအဖြစ် ပေါင်းစည်းထားသည့် Harmony ကွင်းဆက်ရှိ ပိုင်ဆိုင်မှုဒေါ်လာ ၉၇ သန်းခန့် ဆုံးရှုံးသွားခဲ့သည်။"
အောက်တွင်ဖော်ပြထားသည့်အတိုင်း ဤဖြစ်ရပ်သည် ဆက်တိုက်ဖြစ်ပေါ်ခဲ့သည်။
အဖြစ်အပျက်များ၏ကွင်းဆက်
MultiSigWallet စာချုပ်၏ပိုင်ရှင် (0xf845a7ee8477ad1fb446651e548901a2635a915) သည် ငွေပေးငွေယူတစ်ခုတင်သွင်းရန် submitTransaction() လုပ်ဆောင်ချက်ကို ခေါ်သည်။ ငွေပေးငွေယူ ID 21106 ကို ထုတ်လုပ်ရန် အောက်ပါ payload ကို ထည့်သွင်းထားသည်။
အရင်းအမြစ်- Certik
ထို့နောက်၊ exploit အရောင်းအ၀ယ်တွင်၊ ပိုင်ရှင်သည် input transaction Id 21106 ဖြင့် MultiSigWallet မှ function confirmTransaction() ဟုခေါ်သည်။ executeTransaction() လုပ်ဆောင်ချက်သည် input data ဖြင့် ပြင်ပခေါ်ဆိုမှုကို ခေါ်ဆိုခဲ့သည်။ ဤအဆင့်သည် Ethmanager စာချုပ်ရှိ unlockEth() လုပ်ဆောင်ချက်ကို အစပျိုးစေသည်။
အရင်းအမြစ်- Certik
တိုက်ခိုက်သူသည် ပိုင်ရှင်၏ အခွင့်အာဏာကို ထိန်းချုပ်ထားသောကြောင့် လော့ခ်ဖွင့်ခြင်းသည် ထိုတံတားဖြတ်ဖောက်လုပ်ခြင်းဆီသို့ ဦးတည်သွားစေသည်။ ဘလော့မှာလည်း ထည့်ထားတယ်၊
"တိုက်ခိုက်သူသည် 21106 ETH ကို တိုက်ခိုက်သူ၏လိပ်စာသို့ လွှဲပြောင်းပေးသည့် id 13,100 ဖြင့် အရောင်းအ၀ယ်ပြုလုပ်ခဲ့သည်။"
ဒါတင်မဟုတ်ဘူး။ စွပ်စွဲခံရသောဟက်ကာသည် ERC20 တိုကင်များနှင့် Stablecoins အများအပြားကို လွှဲပြောင်းရန်အတွက် အခြားသော ERC20Manager စာချုပ်များတွင် မတူညီသော ငွေပေးငွေယူ ID များကို အသုံးပြုကာ ယခင်လုပ်ငန်းစဉ်ကို ဆက်လက်လုပ်ဆောင်ခဲ့သည်။
ယေဘူယျအားဖြင့်၊ ထိုသို့သောဖြစ်ရပ်များသည် အသုံးပြုခြင်းနှင့်ပတ်သက်၍ သံသယဖြစ်ဖွယ်အခြေအနေတစ်ခုလုံးကို ပိုမိုဆိုးရွားစေသည်။ Cross- ကွင်းဆက်တံတားများ. ဒီနှစ် အစောပိုင်းတုန်းကတော့ နှစ်ခုစလုံးကို တွေ့တယ်။ Ronin တံတား exploit နှင့် တီကောင် စွမ်းဆောင်
အရင်းအမြစ်- https://ambcrypto.com/latest-in-harmonys-horizon-bridge-hack-and-its-technical-post-mortem/