Rubic DEX စုစည်းမှု ဟက်ခ်သည် သုံးစွဲသူ၏ ရန်ပုံငွေ ဒေါ်လာ 1.4 သန်း အခိုးခံရသည်။

exploiter address မှ ရန်ပုံငွေများကို လက်ခံရရှိခဲ့ပါသည်။ ဖြူဖြူ USD Coin (USDC) Stablecoin ပါ၀င်သော အရောင်းအ၀ယ်များတွင် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော လဲလှယ်ခြင်း (DEX)။ PeckShied က ပံ့ပိုးပေးထားသော router များတွင် USDC ကို မှားယွင်းထည့်သွင်းခြင်းကြောင့် ဟက်ခ်ဖြစ်နိုင်သည်ဟု PeckShied မှ ရှင်းပြခဲ့သည်။ ထို့အပြင်၊ "ruterCallNative တွင် တရားဝင်အထောက်အထားမရှိခြင်း" သည် အန္တရာယ်ရှိသော စာချုပ်ကို အသုံးပြုခွင့်ကိုလည်း ခွင့်ပြုထားသည်။

chatGPT ၏အကူအညီဖြင့် လျင်မြန်သောစမတ်စာချုပ်ခွဲခြမ်းစိတ်ဖြာမှုတစ်ခုသည် ruterCallNative လုပ်ဆောင်ချက်တွင် “_params” နှင့် “_data” ကန့်သတ်ဘောင်များအတွက် တရားဝင်ထည့်သွင်းခြင်းအပါအဝင် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်များစွာပါရှိသည်ကို အကြံပြုပါသည်။ ၎င်းတို့သည် တိုက်ခိုက်သူအား မှားယွင်းသော သို့မဟုတ် မရည်ရွယ်ဘဲ အပြုအမူကို ဖြစ်ပေါ်စေနိုင်သည့် အန္တရာယ်ရှိသော ထည့်သွင်းမှုများကို ဖြတ်သန်းခွင့်ပြုနိုင်သည်။

ထို့အပြင်၊ လုပ်ဆောင်ချက်သို့ပေးပို့သော “_gateway” ဘောင်သည် ကန့်သတ်မထားဘဲ၊ တိုက်ခိုက်သူအား စာချုပ်တစ်ခုဖန်တီးရန်နှင့် RubicProxy စာချုပ်ဖြင့် အကောင်အထည်ဖော်ရန် အလားအလာရှိသည်။

အမှန်ကတော့ တိုက်ခိုက်သူ တပ်ဖြန့် တိုက်ခိုက်မှုတွင် အသုံးပြုခဲ့သည့် စိတ်ကြိုက်စမတ်စာချုပ်။ ဟိ bytecode ကိုသုံးသည်။ တိုက်ခိုက်သူကို တတ်နိုင်သမျှ ထိရောက်စွာ တိုက်ခိုက်နိုင်စေမည့် ကုဒ် 337 လိုင်းကို ပြသထားသည်။

ဟက်ကာ၏ လိပ်စာသည် ပထမဆုံး 1,161.55 ရရှိခဲ့သည်။ ethereum (ETH) လွှဲပြောင်းခြင်းနှင့် အခြားသော 26.88 ETH လွှဲပြောင်းခြင်း၊ Uniswap ပရိုတိုကောမှ သီးသန့် USDC မှ ထုတ်ယူပြီး wrapped ethereum (WETH) အတွက် လဲလှယ်ခြင်း။ ဤ WETH အားလုံးကို နောက်ပိုင်းတွင် on-chain mixer နှင့် sanctioned entity သို့ ပေးပို့ခဲ့သည်။ လေဆင်နှာမောင်းငွေ မရရှိသောငွေများကို အမည်ဝှက်ပေးရန်။

On-chain ခွဲခြမ်းစိတ်ဖြာမှုတွင် ဒင်္ဂါးပြားအမည်ဝှက်ခြင်းဝန်ဆောင်မှုသို့ ပေးပို့သည့် ဒေါ်လာ ၁.၄၅ သန်းတန်ဖိုးရှိ ငွေပေးငွေယူဝန်ဆောင်မှုသည် ဟက်ကာ၏လိပ်စာမှ ဆင်းသက်လာသည် — ဝန်ဆောင်မှုအတွက် စုစုပေါင်းအဝင်တန်ဖိုးမှာ $1.45 သန်းခန့်ရှိသည်။ တစ်နည်းဆိုရသော် ယနေ့ ရောနှောကိရိယာသို့ ပေးပို့သည့် ပိုင်ဆိုင်မှုတစ်ဝက်ခန့်ကို အသုံးချသူမှ ပေးပို့ခဲ့သည်။

ဟက်ကာ၏ ရန်ပုံငွေများသည် ဝန်ဆောင်မှု၏ ဝင်လာသော ငွေပေးငွေယူပမာဏ၏ သိသာထင်ရှားသော အစိတ်အပိုင်းတစ်ခုဖြစ်သော်လည်း ၎င်းတို့၏ အမည်ဝှက်သည် များပြားနေဆဲဖြစ်သည်။ အပ်ငွေသည် ယနေ့လုပ်ဆောင်ခဲ့သော Tornado Cash မှ ဒေါ်လာ 2 သန်း ထုတ်ယူခြင်း သို့မဟုတ် စမတ်စာချုပ်တွင် အပ်နှံထားဆဲဖြစ်သော ဒေါ်လာ 174 သန်းတန်ဖိုးရှိ ပိုင်ဆိုင်မှုတို့တွင် ဖြစ်နိုင်သည်။

Tornado Cash သည် အသုံးပြုသူများအား Ethereum blockchain တွင် အမည်မသိ လွှဲပြောင်းမှုများကို လုပ်ဆောင်ခွင့်ပြုသည့် ယခု တရားမဝင် DeFi ပရိုတိုကောတစ်ခုဖြစ်သည်။ ပရိုတိုကောသည် အရောင်းအ၀ယ်များ၏ ထည့်သွင်းမှုနှင့် အထွက်လိပ်စာများကို ဝှက်ထားရန် သုညအသိပညာအထောက်အထားများ (ZK-အထောက်အထားများ) ကို အသုံးပြုသည်။ အရောင်းအ၀ယ်ပြုလုပ်ရာတွင် ပါဝင်သည့်ပါတီများ၏ အထောက်အထား သို့မဟုတ် လွှဲပြောင်းခြင်း၏ သီးခြားရည်ရွယ်ချက်ကို ဆုံးဖြတ်ရန် တတိယအဖွဲ့အစည်းများအတွက် ခက်ခဲသည်။

Tornado Cash သည် Ethereum blockchain ၏ထိပ်တွင်တည်ဆောက်ထားသော open-source ပရောဂျက်တစ်ခုဖြစ်ပြီး Ethereum ပိုက်ဆံအိတ်ရှိသူတိုင်းအသုံးပြုနိုင်သည်။ အသုံးပြုသူများသည် ၎င်းတို့၏ Ethereum ပိုက်ဆံအိတ် သို့မဟုတ် ဗဟိုချုပ်ကိုင်မှုလျှော့ချထားသော hosting ဝန်ဆောင်မှု InterPlanetary File System (IPFS) မှတစ်ဆင့် ရရှိဆဲဖြစ်သော ၎င်းတို့၏ Ethereum ပိုက်ဆံအိတ် သို့မဟုတ် ဝဘ်အင်တာဖေ့စ်ကို အသုံးပြု၍ Tornado Cash စာချုပ်နှင့် အပြန်အလှန် တုံ့ပြန်နိုင်သည်။ ၎င်းတို့သည် ၎င်းတို့၏ငွေများကို Tornado Cash စာချုပ်သို့ပေးပို့ပြီး လိပ်စာအသစ်သို့ ရုပ်သိမ်းခြင်းဖြင့် ERC-20 စံနှုန်းနှင့်အညီ တိုကင်များကို ETH သို့မဟုတ် အမည်မသိ လွှဲပြောင်းခြင်းများ လုပ်ဆောင်နိုင်သည်။

ဒီသတင်းက မကြာသေးပါဘူး။ အစီရင်ခံစာများ မြောက်ကိုရီးယားဟက်ကာများသည် လွန်ခဲ့သည့်ငါးနှစ်အတွင်း cryptocurrency နှင့် အခြားသော virtual ပိုင်ဆိုင်မှုဒေါ်လာ ၁.၂ ဘီလီယံခန့် ခိုးယူခံခဲ့ရကြောင်း သိရသည်။ အဆိုပါဟက်ကာအများစုသည် 1.2 ခုနှစ်တစ်ခုတည်းတွင်ဖြစ်ခဲ့သည်။

Google News တွင် ကျွန်ုပ်တို့ကို လိုက်ကြည့်ပါ။