W skrócie
- Audius, platforma muzyczna Web3, została zhakowana w sobotę za ponad 6 milionów dolarów na tokeny AUDIO oparte na Ethereum.
- Atakujący wymienił tokeny za mniej niż 1.1 miliona dolarów ETH, a następnie przesłał ETH za pośrednictwem usługi mieszania transakcji.
Zdecentralizowana usługa przesyłania strumieniowego muzyki Audius został zhakowany na ponad 6 milionów dolarów AUDIO tokeny przez weekend, którą atakujący ukradł jej zarządowi inteligentna umowa, W raport z sekcji zwłok opublikowana pod koniec niedzieli, serwis szczegółowo opisał atak i odpowiedź — i zauważył, że mimo wcześniejszych audytów bezpieczeństwa wykorzystano nieodkryty błąd.
Według raportu haker wykrył błąd w kodzie inicjalizacji inteligentnego kontraktu, który pozwala mu manipulować Ethereumoparte na zarządzaniu, wyznaczaniu i umowach delegowania. Inteligentna umowa to kod, który zasila zdecentralizowane aplikacje (dapps) w Web3, umożliwiając działanie aplikacji, gier i protokołów bez scentralizowanych pośredników.
Biorąc pod uwagę ten zdecentralizowany model, Audius korzysta z ERC-20 opartego na Ethereum tokeny (AUDIO), aby umożliwić zarządzanie społecznością. Jednak ten model został ostatecznie wykorzystany w sobotę. Za pomocą exploita atakujący zmienił strukturę głosowania Audius i dwukrotnie próbował delegować 10 bilionów tokenów AUDIO do swoich portfel przeforsować propozycje dotyczące zarządzania.
Wykryto problem i trwają prace nad naprawami, które przywrócą rzeczy do stanu stabilnego.
Aby zapobiec dalszym szkodom, wszystkie inteligentne kontrakty Audius na Ethereum musiały zostać wstrzymane, w tym token.
Uważamy, że dalsze fundusze nie są zagrożone.
Więcej aktualizacji / post mortem wkrótce. https://t.co/i3MM9WjjgE
— Audius ? (@audiusprojekt) 24 lipca 2022 r.
Te ruchy nie wpłynęły na podaż tokenów AUDIO, a jedynie na własny system stakowania tokenów platformy. Umożliwiło to jednak atakującemu przekazanie propozycji zarządzania, która wysłała całą pulę tokenów społeczności —prawie 18.6 mln tokenów AUDIO—do zewnętrznego Ethereum portfel. W momencie napadu tokeny były warte łącznie prawie 6.1 miliona dolarów.
Zgodnie z harmonogramem wydarzeń udostępnionym przez Audius, zespół projektowy został zaalarmowany o ataku około 25 minut po przekazaniu tokena. Zespół szybko sprowadził pseudonim biały kapelusz haker samczsun firmy VC Paradigm – kto ma skutecznie pomogła pokrzyżować wcześniejsze próby wykorzystania inteligentnych kontraktów — aby pomóc w odpowiedzi.
Po zorientowaniu się, że exploit jest nadal aktywny, zespół opracował poprawki, które wykorzystywały tę samą lukę, aby ostatecznie zatrzymać jej użycie, i spędził kilka następnych godzin na wdrażaniu łat, aby powstrzymać dalsze ataki. Zespół wciąż opracowuje długoterminowe poprawki, a kolejne aktualizacje są obiecane w tym tygodniu.
W raporcie pośmiertnym zespół Audius był szczery na temat potencjalnych niedociągnięć lub niedopatrzeń, które mogły umożliwić napad i/lub spowolnić jego reakcję.
Na przykład zespół nie pracował aktywnie nad kodem maszyny wirtualnej Solidity/Ethereum (EVM) od prawie dwóch lat. „Ludzie potrzebowali czasu, aby wrócić do wszystkich rzeczy”, napisał zespół, zauważając, że pozostanie „bardziej zgodny z najnowszym stanem narzędzi do tworzenia i debugowania”.
Jednak inteligentne kontrakty Audius zostały poddane audytowi przez grupy bezpieczeństwa — najpierw przez OpenZeppelin w sierpniu 2020 r., a kolejne dodatki do umowy zostały skontrolowane przez Kudelskiego w październiku 2021 r. Mimo to ta luka pozostawała otwarta dla opinii publicznej przez prawie dwa lata, od pierwszego kontraktu. wdrożony w październiku 2020 r.
„Audyty nie są kuloodporne”, napisał zespół, zauważając, że czas spędzony w kontrakcie na wolności „może pomóc w budowaniu zaufania, ale nie wyklucza możliwości wykorzystania”.
Podczas gdy tokeny były wyceniane łącznie na ponad 6 milionów dolarów, atakujący wymienił je na znacznie niższą wartość Ethereum, być może w pośpiechu, aby wyprać fundusze. Tokeny zostały sprzedane za nieco ponad 704 Wrapped Ethereum (WETH) – o wartości około 1.07 miliona dolarów –w sobotnią noc przez Uniswap, prowadzenie zdecentralizowana wymiana.
Następnie atakujący wysłał prawie cały ETH przez Tornado Cash, usługa mieszania, która łączy monety z wielu transakcji, aby utrudnić śledzenie ścieżki funduszy kryptograficznych w łańcuchu bloków.
Bądź na bieżąco z wiadomościami o kryptowalutach, otrzymuj codzienne aktualizacje w swojej skrzynce odbiorczej.
Źródło: https://decrypt.co/105913/how-audius-was-hacked-6m-ethereum-tokens