Share this article
Comment des attaquants ont volé environ 1,1 million de dollars de jetons au projet de musique décentralisé Audius
L'exploit sophistiqué impliquait que des attaquants transmettent une proposition de gouvernance malveillante en exploitant des contrats intelligents.
Updated May 11, 2023, 6:42 p.m. Published Jul 25, 2022, 11:30 a.m.
Environ 1,1 million de dollars de jetons AUDIO d' Audius ont été volés au cours du week-end lors d'une attaque sophistiquée impliquant les forums de gouvernance du projet.
Audius, un projet de streaming musical tokenisé, s'appuie sur le vote et la gouvernance communautaires pour prendre ses décisions. Samedi, une proposition malveillante a vu des attaquants publier une fausse publication et manipuler les votes tokenisés pour voler des fonds.
La Suite Ci-Dessous
Les attaquants ont initialement lancé la « Proposition n° 84 », qui déléguait 10 000 milliards AUDIO en interne au contrat de jalonnement (sans modification de l'offre de jetons). Cette transaction a échoué, car aucun vote n'a été exprimé sur la proposition.
Les attaquants ont ensuite lancé la « Proposition n° 85 », qui demandait le transfert de 18 millions de jetons AUDIO lors d'un vote de gouvernance. Les attaquants ont ensuite pu « appeler initialize() et se positionner comme seul gardien » de ce contrat de gouvernance, ont expliqué les développeurs Audius dans un rapport d'analyse publié lundi.
La fonction initialize() fournit à un programme son point de données initial dans un contrat intelligent. Cela permettait à l'attaquant de contrôler seul la proposition de gouvernance et de transférer des jetons au fur et à mesure de son adoption.
Après la présentation de la proposition n° 85, une transaction a été exécutée, déléguant 10 000 milliards de AUDIO aux votes, faussant ainsi la proposition en faveur de l'attaquant. L'offre en circulation n'a pas été affectée, mais la proposition a été adoptée, les votes erronés ayant permis de tromper les contacts intelligents d' Audius. Cela a permis aux attaquants de transférer de manière malveillante 18 millions de jetons AUDIO détenus par le contrat de gouvernance Audius , appelé « trésorerie communautaire », vers un portefeuille sous leur contrôle.
Les jetons volés ont ensuite été échangés contre plus de 700 ethers , d'une valeur d'environ 1,08 million de dollars au moment de la rédaction, sur le service d'échange de Politique de confidentialité Tornado Cash, comme le montrent les données blockchain du portefeuille de l'attaquant –0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.
Entre-temps, les développeurs Audius ont déclaré qu'un bug permettait à l'attaquant de transmettre la fonction initialize(). « Les contrats de gouvernance, de jalonnement et de délégation Audius sur le réseau principal Ethereum », ont expliqué les développeurs dans l'analyse post-mortem.
« [Ces] éléments ont été compromis en raison d’un bug dans le code d’initialisation du contrat qui permettait des invocations répétées des fonctions d’initialisation », ont-ils ajouté.
L'ensemble des contrats exploités avait été audité par l'équipe d'OpenZeppelin, mais la vulnérabilité n'avait T été détectée à ce moment-là, ont déclaré les développeurs Audius . Tous les fonds restants sont en sécurité et des correctifs ont été déployés lundi.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Tassat obtient un brevet américain pour la technologie de règlement onchain « Yield-in-Transit »
La propriété intellectuelle couvre l'accumulation d'intérêts intrajournalière, bloc par bloc, lors du règlement 24h/24 et 7j/7, et soutient Lynq, un réseau institutionnel co-lancé par Tassat en juillet.
What to know:
- Le brevet couvre l'accumulation et la distribution d'intérêts « yield-in-transit » en chaîne lors du règlement.
- Tassat a indiqué que la technologie alimente Lynq, qu'elle présente comme un réseau institutionnel offrant un règlement intégré avec intérêts.
- La société a soutenu que le rendement continu lors des opérations de garantie et de réserve pourrait améliorer la manière dont les teneurs de marché, les dépositaires et les émetteurs de stablecoins déploient le capital.
À la une
