Los hackers robaron 6 millones de dólares de Audius tras aprobar una propuesta de gobernanza maliciosa

- Un atacante robó tokens AUDIO por valor de más de 6 millones de dólares de Audius, una plataforma de música Web3.

- El atacante fue capaz de retirar más de 10 billones de tokens AUDIO de la plataforma y cambiarlos por Ethereum. A continuación, cambiaron el ETH por dinero en efectivo a través de una plataforma de intercambio.

- Según el director general de Audius, la brecha que utilizó el atacante se ha mitigado y no puede volver a explotarse.

Palabras clave: Audius, AUDIO, ETH, Tokens, Atacantes, Propuesta de gobernanza.

Las propuestas de criptografía son medios para lograr el consenso entre las comunidades de blockchain. Sin embargo, se produjo un hackeo como resultado de la aprobación de una propuesta de gobernanza maliciosa. Una plataforma musical descentralizada, Audius, perdió 6,1 millones de dólares en tokens, y el atacante se embolsó un millón de dólares.

Durante un hackeo el 23 de julio, Audius, una plataforma de streaming de música descentralizada, fue explotada a través de una vulnerabilidad en su código de contrato inteligente de gobernanza. Como resultado, el atacante robó alrededor de 6,05 millones de dólares en tokens AUDIO, la criptomoneda nativa de la plataforma. El atacante tuvo éxito con sus planes cuando la comunidad aprobó la propuesta maliciosa etiquetada como Propuesta #85. Como resultado, se transfirieron tokens de AUDIO por valor de 18 millones. Según una cuenta en Twitter, speekaway, el atacante creó propuestas maliciosas para llamar, inicializar y establecerse como único agente de los contratos gubernamentales.

Cómo llevó a cabo el robo el atacante

Según la autopsia del ataque de Audius, el atacante encontró un fallo en el código de inicialización que le permitió manipular los contratos de gobernanza, de estafa y de delegación de Audius. El código de inicialización es un tipo de código que permite a una plataforma descentralizada realizar operaciones sin depender de administradores centralizados.

Utilizando el exploit, el atacante redefinió la votación en Audius e intentó delegar 10 billones de tokens de AUDIO dos veces en sus carteras. Según el informe, el primer intento del atacante fracasó, pero tuvo éxito con su segunda propuesta maliciosa.

De este modo, el atacante pudo transferir 18.564.497 tokens de AUDIO a una cartera de Ethereum y robarlos.

Basándose en los datos de la blockchain de la cartera del atacante, éste intercambió los tokens robados por 704,17 Ether (ETH), con un valor de más de 1,09 millones de dólares en ese momento en Uniswap.

Audius descubrió el exploit más de media hora después de que el atacante delegara 10 billones de tokens AUDIO. Tras el descubrimiento, el equipo implementó la corrección inicial. Sin embargo, en el momento de redactar este informe, todos los contratos de la plataforma están siendo actualizados, por lo que algunas funcionalidades no están disponibles actualmente.

Respuesta de Audius al hackeo

Roneil Rumburg, cofundador y CEO de Audius, dijo a Cointelegraph que no se pasó ninguna propuesta maliciosa:

"Esto fue un exploit - no una propuesta sugerida o pasada a través de cualquier medio legítimo - sólo pasó a utilizar el sistema de gobernanza como el punto de entrada para el ataque."

Twitter

Según Audius, un tercero no autorizado robó la tesorería de la empresa de tokens AUDIO. Después de esta revelación, Audius detuvo proactivamente todos los contratos inteligentes basados en Ethereum y los tokens AUDIO como precaución. Después de un examen exhaustivo y la mitigación de la vulnerabilidad, la empresa reanudó las transferencias de tokens poco después.

Según el investigador de blockchain Peckshield, las inconsistencias de Audius fueron la causa del problema.

Twitter

Después de que la propuesta de gobernanza del atacante drena 18 millones de tokens por valor de casi 6 millones de dólares de la tesorería de la empresa, son rápidamente volcados y revendidos por 1,08 millones de dólares. Los inversores recomendaron una recompra inmediata tras el dumping para evitar más dumping y reducir aún más el precio mínimo del token.

Conclusión

Según el cofundador y director general de Audius, Roneil Rumburg, la causa raíz del exploit había sido mitigada y no podía volver a explotarse. Además, la tesorería de la comunidad permanece separada de la tesorería de la fundación, protegiendo así los fondos restantes.

Autor: Gate.io Observador: M. Olatunji. Traductor: Jose E.

Descargo de responsabilidad:

*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.

*Gate.io se reserva todos los derechos sobre este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.