Хакеры украли 6 миллионов долларов у Audius после принятия вредоносного предложения по управлению

- Злоумышленник украл AUDIO-токены на сумму более 6 миллионов долларов у Audius, музыкальной платформы Web3.

- Злоумышленник смог вывести с платформы 10 миллионов токенов AUDIO и обменять их на Ethereum. Затем они обменяли ETH на наличные деньги через обменную платформу.

- По словам генерального директора Audius, лазейка, которую использовал злоумышленник, была устранена и не может быть использована повторно.

Ключевые слова: Audius, AUDIO, ETH, Токены, Злоумышленники, Предложение по управлению.

Криптографические предложения - это средство достижения консенсуса среди блокчейн-сообществ. Однако в результате принятия вредоносного предложения по управлению произошел взлом. Децентрализованная музыкальная платформа Audius потеряла токены на сумму 6,1 миллиона долларов, а злоумышленник прикарманил 1 миллион долларов.

Во время взлома 23 июля в Audius, децентрализованной платформе потоковой передачи музыки, была использована уязвимость в коде смарт-контракта управления. В результате злоумышленник украл около 6,05 миллионов долларов в токенах AUDIO, криптовалюте платформы. Злоумышленнику удалось осуществить свои планы, когда сообщество одобрило вредоносное предложение с пометкой Proposal #85. В результате были переведены токены на сумму 18 миллионов долларов. Согласно аккаунту speekaway в Twitter, злоумышленник создал вредоносные предложения для вызова, инициализации и установки себя в качестве единственного агента по контрактам управления.

Как злоумышленник осуществил кражу

Согласно результатам вскрытия атаки Audius, злоумышленник обнаружил недостаток в коде инициализации, который позволил ему манипулировать контрактами Audius на управление, размещение и делегирование. Код инициализации - это тип кода, который позволяет децентрализованной платформе выполнять операции, не полагаясь на централизованных администраторов.

Используя эксплойт, злоумышленник переопределил голосование на Audius и дважды попытался перевести 10 миллионов токенов AUDIO на свои кошельки. Судя по отчету, первая попытка злоумышленника провалилась, но он преуспел со своим вторым вредоносным предложением.

Таким образом, злоумышленник мог перевести 18 564 497 токенов AUDIO на кошелек Ethereum и украсть их.

Основываясь на данных блокчейна из кошелька злоумышленника, злоумышленник обменял украденные токены на 704,17 эфира (ETH), что на тот момент составляло более 1,09 миллиона долларов на Uniswap.

Audius обнаружил эксплойт более чем через полчаса после того, как злоумышленник перевел 10 миллионов токенов AUDIO. После обнаружения команда внедрила первоначальное исправление. Однако на момент написания этого отчета все контракты на платформе были обновлены, поэтому некоторые функции в настоящее время недоступны.

Ответ Audius на взлом

По словам Audius, неавторизованная третья сторона украла из казны компании токены AUDIO. После этого раскрытия Audius в качестве меры предосторожности активно остановила все смарт-контракты и контракты в AUDIO на основе Ethereum. После тщательного изучения / устранения уязвимости компания вскоре возобновила перевод токенов.

По словам аналитической компании Peckshield, причиной проблемы стали несоответствия Audius.

Twitter

После того, как предложение злоумышленника по управлению перевело 18 миллионов токенов на сумму почти 6 миллионов долларов из казны компании, они быстро сбрасываются и перепродаются за 1,08 миллиона долларов. Инвесторы рекомендовали немедленный выкуп после демпинга, чтобы предотвратить дополнительный демпинг и еще больше снизить минимальную цену токена.

Вывод

По словам соучредителя и генерального директора Audius Ронейла Румбурга, первопричина эксплойта была устранена и не могла быть использована повторно. Кроме того, казна сообщества остается отдельной от казны фонда, что обеспечивает защиту оставшихся средств.

Автор: Gate.io, Аналитик: M. Olatunji Переводчик: Николай Д.

Эта статья представляет собой только мнение аналитика и не представляет собой каких-либо инвестиционных советов.

Gate.io оставляет за собой все права на эту статью. Перепост статьи будет разрешен при условии ссылки на Gate.io. Во всех других случаях в связи с нарушением авторских прав будет возбужден судебный иск.