Hackers roubaram US $6 milhões da Audius após aprovação de uma proposta de governança maliciosa!

- Um invasor roubou tokens AUDIO no valor de mais de US $6 milhões da Audius, uma plataforma de música Web3.

- O invasor foi capaz de retirar mais de 10 trilhões de tokens de ÁUDIO da plataforma e trocá-los pelo Ethereum. Eles então trocaram o ETH por dinheiro através de uma plataforma de câmbio.

- De acordo com o CEO da Audius, a brecha utilizada pelo atacante foi atenuada e não pode ser re-explorada.

Palavras-chave: Audius, AUDIO, ETH, Tokens, Atacantes, Proposta de Governança.

Propostas cripto são meios de alcançar consenso entre as comunidades blockchain. No entanto, um hack ocorreu como resultado da aprovação de uma proposta de governança maliciosa. Uma plataforma de música descentralizada, Audius, perdeu US $6,1 milhões em tokens, com o invasor embolsando US $1 milhão.

Durante um hack em 23 de julho, a Audius, uma plataforma descentralizada de streaming de música, foi explorada através de uma vulnerabilidade em seu código de contrato inteligente de governança. Como resultado, o invasor roubou cerca de US $6,05 milhões em tokens AUDIO, a criptomoeda nativa da plataforma. O atacante teve sucesso com seus planos, quando a comunidade aprovou a proposta maliciosa, a proposta nº 85. Como resultado, tokens AUDIO no valor de 18 milhões foram transferidos. De acordo com uma conta no Twitter, o atacante criou propostas maliciosas para chamar, inicializar e definir-se como o único agente dos contratos governamentais.

Como o invasor realizou o roubo

De acordo com a autópsia do ataque de Audius, o atacante encontrou uma falha no código de inicialização que lhe permitiu manipular os contratos de governança, staking e delegação de Audius. O código de inicialização é um tipo de código que permite que uma plataforma descentralizada realize operações sem depender de administradores centralizados.

Usando a exploração, o atacante redefiniu a votação em Audius e tentou delegar 10 trilhões de tokens AUDIO duas vezes para suas carteiras. Com base no relatório, a primeira tentativa do atacante falhou, mas ele conseguiu com sua segunda proposta maliciosa.

Assim, o invasor poderia transferir 18.564.497 tokens DE AUDIO para uma carteira Ethereum e roubá-los.

Com base em dados de blockchain da carteira do invasor, o invasor trocou os tokens roubados por 704,17 Ether (ETH), no valor de mais de US $1,09 milhão na época na Uniswap.

Audius descobriu a exploração mais de meia hora depois que o atacante delegou 10 trilhões de tokens AUDIO. Após a descoberta, a equipe implementou a correção inicial. No entanto, no momento deste relatório, todos os contratos na plataforma estão sendo atualizados, de modo que algumas funcionalidades estão atualmente indisponíveis.

Audius — resposta ao hack

Roneil Rumburg, co-fundador e CEO da Audius, disse ao Cointelegraph que nenhuma proposta maliciosa foi aprovada:

"Foi uma exploração, não uma proposta negada ou aprovada por quaisquer meios legítimos, apenas aconteceu de usar o sistema de governança como ponto de entrada para o ataque."

Twitter

De acordo com Audius, um terceiro não autorizado roubou o tesouro da empresa de tokens AUDIO. Após essa divulgação, a Audius interrompeu praticamente todos os contratos inteligentes baseados em Ethereum e tokens DE AUDIO como precaução. Após um exame/mitigação minuciosa da vulnerabilidade, a empresa reiniciou as transferências de tokens pouco depois.

De acordo com o investigador de blockchain Peckshield, as inconsistências de Audius foram a causa do problema.

Twitter

Depois que a proposta de governança do invasor drenou 18 milhões de tokens no valor de quase US $6 milhões do tesouro da empresa, eles foram rapidamente despejados e revendidos por US $1,08 milhão. Os investidores recomendaram uma recompra imediata após o dumping para evitar dumping adicional e reduzir ainda mais o preço do piso do token.

Conclusão

De acordo com o co-fundador e CEO da Audius, Roneil Rumburg, a causa principal da exploração foi atenuada e não pôde ser explorada de novo. Além disso, o tesouro comunitário permanece separado do tesouro da fundação, protegendo assim os fundos restantes.

Autor: Gate.io. Observador: M. Olatunji.

Tradução em PT-BR por João Gab. Este artigo constitui apenas a opinião dos autores, pesquisadores e observadores. Ele não é uma sugestão de investimento. Republicar o artigo será permitido, mas a Gate.io deverá ser citada. Nos outros casos, tomaremos as medidas por violação de direito autoral.