Gate.io ブログハッカーは、悪意のあるガバナンス提案を可決した後、Audius から600 万ドルを盗む

ハッカーは、悪意のあるガバナンス提案を可決した後、Audius から600 万ドルを盗む

29 July 14:24

概要

- 攻撃者が Web3 音楽プラットフォームの Audius から 600 万ドル以上の価値がある AUDIO トークンを盗みました。

- 攻撃者は、プラットフォームから 10 兆を超える AUDIO トークンを出金し、それらを Ethereum と交換することができました。次に、交換プラットフォームを通じて ETH を現金と交換しました。

- Audius の CEO によると、攻撃者が使用した抜け道はすでに塞がれており、二度と攻撃されません。

キーワード: Audius、AUDIO、ETH、トークン、攻撃者、ガバナンスの提案

暗号資産の提案は、ブロックチェーンコミュニティ間でコンセンサスを達成するための手段です。しかし、悪意のあるガバナンス案が可決された結果、ハッキングが発生します。分散型音楽プラットフォームの Audius は、トークンで 610 万ドルを失い、攻撃者は 100 万ドルをポケットに入れました。

7 月 23 日のハッキングでは、分散型音楽ストリーミングプラットフォームである Audius が、ガバナンススマートコントラクトコードの脆弱性を悪用されました。その結果、攻撃者はプラットフォームのネイティブ暗号通貨である AUDIO トークンで約 605 万ドルを盗みました。コミュニティが提案 #85 とタグ付けされた悪意のある提案を承認したとき、攻撃者はその計画を成功させました。その結果、1800 万相当の AUDIO トークンが譲渡されました。Twitter のアカウントspeekawayによると、攻撃者は政府契約の唯一の代理人として自分自身を呼び出し、初期化し、設定するための悪意のある提案を作成しました。

攻撃者が窃盗を実行した手口

Audius の攻撃の事後分析によると、攻撃者は初期化コードに欠陥を発見し、Audius のガバナンス、ステーキング、および委任契約を操作することができました。初期化コードは、集中管理者に依存することなく、分散型プラットフォームが操作を実行できるようにするコードの一種です。

エクスプロイトを使用して、攻撃者は Audius の投票を再定義し、10 兆の AUDIO トークンをウォレットに 2 回委任しようとしました。レポートによると、攻撃者の最初の試みは失敗しましたが、2 回目の悪意のある提案で成功しました。

このようにして、攻撃者は 18,564,497 の AUDIO トークンをEthereum ウォレットに送金し、それらを盗むことができました。

攻撃者のウォレットからのブロックチェーンデータに基づいて、攻撃者は盗んだトークンを 704.17 イーサ (ETH) に交換しました。

Audius は、攻撃者が 10 兆の AUDIO トークンを委任してから 30 分以上後にエクスプロイトを発見しました。発見後、チームは最初の修正を実装しました。ただし、このレポートの時点では、プラットフォーム上のすべての先物がアップグレードされているため、現在もなお一部の機能は利用できません。

ハッキングに対する Audius の対応

Audius の共同創設者兼 CEO である Roneil Rumburg 氏は、Cointelegraph に対し、悪意のある提案は通過しなかったと語った。

ツイッター

Audiusによると、無許可の第三者が同社の財務省の AUDIO トークンを奪ったとのことです。この開示後、Audius は予防措置として、すべての Ethereum ベースのスマートコントラクトと AUDIO トークンを積極的に停止しました。脆弱性を徹底的に調査/軽減した後、同社はその後すぐにトークンの送金を再開しました。

ブロックチェーンの調査者である Peckshield によると、Audius の不一致が問題の原因でした。