„Audyty nie są kuloodporne”: jak zhakowano Audius za 6 mln dolarów w tokenach Ethereum

Zdecentralizowana usługa przesyłania strumieniowego muzyki Audius został zhakowany na ponad 6 milionów dolarów AUDIO tokeny przez weekend, którą atakujący ukradł jej zarządowi inteligentna umowa, W raport z sekcji zwłok opublikowana pod koniec niedzieli, serwis szczegółowo opisał atak i odpowiedź — i zauważył, że mimo wcześniejszych audytów bezpieczeństwa wykorzystano nieodkryty błąd.

Według raportu haker wykrył błąd w kodzie inicjalizacji inteligentnego kontraktu, który pozwala mu manipulować Ethereumoparte na zarządzaniu, wyznaczaniu i umowach delegowania. Inteligentna umowa to kod, który zasila zdecentralizowane aplikacje (dapps) w Web3, umożliwiając działanie aplikacji, gier i protokołów bez scentralizowanych pośredników.

Biorąc pod uwagę ten zdecentralizowany model, Audius korzysta z ERC-20 opartego na Ethereum tokeny (AUDIO), aby umożliwić zarządzanie społecznością. Jednak ten model został ostatecznie wykorzystany w sobotę. Za pomocą exploita atakujący zmienił strukturę głosowania Audius i dwukrotnie próbował delegować 10 bilionów tokenów AUDIO do swoich portfel przeforsować propozycje dotyczące zarządzania.

Te ruchy nie wpłynęły na podaż tokenów AUDIO, a jedynie na własny system stakowania tokenów platformy. Umożliwiło to jednak atakującemu przekazanie propozycji zarządzania, która wysłała całą pulę tokenów społeczności —prawie 18.6 mln tokenów AUDIO—do zewnętrznego Ethereum portfel. W momencie napadu tokeny były warte łącznie prawie 6.1 miliona dolarów.

Zgodnie z harmonogramem wydarzeń udostępnionym przez Audius, zespół projektowy został zaalarmowany o ataku około 25 minut po przekazaniu tokena. Zespół szybko sprowadził pseudonim biały kapelusz haker samczsun firmy VC Paradigm – kto ma skutecznie pomogła pokrzyżować wcześniejsze próby wykorzystania inteligentnych kontraktów — aby pomóc w odpowiedzi.

Po zorientowaniu się, że exploit jest nadal aktywny, zespół opracował poprawki, które wykorzystywały tę samą lukę, aby ostatecznie zatrzymać jej użycie, i spędził kilka następnych godzin na wdrażaniu łat, aby powstrzymać dalsze ataki. Zespół wciąż opracowuje długoterminowe poprawki, a kolejne aktualizacje są obiecane w tym tygodniu.

W raporcie pośmiertnym zespół Audius był szczery na temat potencjalnych niedociągnięć lub niedopatrzeń, które mogły umożliwić napad i/lub spowolnić jego reakcję.

Na przykład zespół nie pracował aktywnie nad kodem maszyny wirtualnej Solidity/Ethereum (EVM) od prawie dwóch lat. „Ludzie potrzebowali czasu, aby wrócić do wszystkich rzeczy”, napisał zespół, zauważając, że pozostanie „bardziej zgodny z najnowszym stanem narzędzi do tworzenia i debugowania”.

Jednak inteligentne kontrakty Audius zostały poddane audytowi przez grupy bezpieczeństwa — najpierw przez OpenZeppelin w sierpniu 2020 r., a kolejne dodatki do umowy zostały skontrolowane przez Kudelskiego w październiku 2021 r. Mimo to ta luka pozostawała otwarta dla opinii publicznej przez prawie dwa lata, od pierwszego kontraktu. wdrożony w październiku 2020 r.

„Audyty nie są kuloodporne”, napisał zespół, zauważając, że czas spędzony w kontrakcie na wolności „może pomóc w budowaniu zaufania, ale nie wyklucza możliwości wykorzystania”.

Podczas gdy tokeny były wyceniane łącznie na ponad 6 milionów dolarów, atakujący wymienił je na znacznie niższą wartość Ethereum, być może w pośpiechu, aby wyprać fundusze. Tokeny zostały sprzedane za nieco ponad 704 Wrapped Ethereum (WETH) – o wartości około 1.07 miliona dolarów –w sobotnią noc przez Uniswap, prowadzenie zdecentralizowana wymiana.

Następnie atakujący wysłał prawie cały ETH przez Tornado Cash, usługa mieszania, która łączy monety z wielu transakcji, aby utrudnić śledzenie ścieżki funduszy kryptograficznych w łańcuchu bloków.