Хакер вывел $1,08 млн из компании Audius после принятия вредоносного предложения
Предложения в криптовалюте помогают сообществам принимать решения на основе консенсуса. Однако для децентрализованной музыкальной платформы Auduis принятие вредоносного предложения по управлению привело к передаче токенов на сумму $6,1 млн, при этом хакер унес $1 млн.
24 июля вредоносное предложение (Proposal #85) с просьбой перевести 18 миллионов внутренних токенов AUDIO компании Audius было одобрено голосованием сообщества. Как впервые указал в Crypto Twitter @spreekaway, злоумышленник создал вредоносное предложение, в котором он «смог вызвать initialize() и установить себя в качестве единственного хранителя контракта управления».
Привет всем — наша команда в курсе сообщений о несанкционированном переводе токенов AUDIO из казначейства сообщества. Мы проводим активное расследование и сообщим, как только узнаем больше.
Если вы хотите помочь нашей команде реагирования, пожалуйста, свяжитесь с нами.
— Audius (@AudiusProject) 24 июля 2022 г.
В разговоре с Cointelegraph соучредитель и генеральный директор Audius Ронейл Румбург пояснил, что сообщество не принимало вредоносного предложения:
Это был эксплойт — не предложение, предложенное или переданное каким-либо законным способом — просто так получилось, что система управления использовалась в качестве точки входа для атаки.
Дальнейшее расследование Auduis подтвердило несанкционированный перевод токенов AUDIO из казначейства компании. После этого Auduis проактивно остановила все смарт-контракты Audius и токены AUDIO на блокчейне Ethereum, чтобы избежать дальнейших потерь. Однако вскоре после этого компания возобновила перевод токенов, добавив, что «Оставшаяся функциональность смарт-контрактов не приостановлена после тщательного изучения/устранения уязвимости».
Блокчейн-исследователь Peckshield сузил круг виновных до несоответствия схемы хранения Audius.
Проблема @AudiusProject заключается в несогласованном расположении хранилища между его прокси и impl. В частности, коллизия контракта Audius Community Treasury приводит к эквивалентности отключения модификатора инициализатора. Здесь играет роль addr proxyAdmin (0x..abac). pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) 24 июля 2022 г.
Хотя хакерское предложение по управлению выкачало из казначейства 18 миллионов токенов на сумму почти 6 миллионов долларов, вскоре оно было сброшено и продано за 1,08 миллиона долларов. Хотя сброс привел к максимальной просадке, инвесторы рекомендовали немедленный выкуп, чтобы предотвратить сброс существующих инвесторов и дальнейшее снижение минимальной цены токена.
Инвесторы еще не получили ясности по поводу украденных средств, поскольку один инвестор спросил: «Они взломали фонд сообщества, верно? Фонд команды — это отдельный фонд, правильно?».
Румбург подтвердил Cointelegraph, что первопричина эксплойта была устранена и не может быть использована повторно. Учитывая, что казна сообщества хранится отдельно от казны фонда, оставшиеся средства остаются в безопасности от любых эксплойтов.
Создатель Bored Ape Yacht Club (BAYC) компания Yuga Labs выпустила второе предупреждение об ожидаемой «скоординированной атаке» на свои аккаунты в социальных сетях.
Наша команда безопасности отслеживает группу постоянных угроз, нацеленных на сообщество NFT. Мы считаем, что вскоре они могут начать скоординированную атаку на несколько сообществ через взломанные аккаунты в социальных сетях. Пожалуйста, будьте бдительны и оставайтесь в безопасности.
— Yuga Labs (@yugalabs) 18 июля 2022 г.
В июне Гордон Гонер, псевдонимный соучредитель Yuga Labs, выпустил первое предупреждение о возможной готовящейся атаке на свои аккаунты в социальных сетях Twitter. Вскоре после предупреждения представители Twitter активно следили за аккаунтами и укрепили существующую защиту.