Поделиться этой статьей
Как злоумышленники украли токены на сумму около 1,1 млн долларов у децентрализованного музыкального проекта Audius
Сложная эксплойтная атака заключалась в том, что злоумышленники передавали вредоносное предложение по управлению, используя смарт-контракты.
Автор Shaurya Malwa
Сделайте нас предпочтительным источником в Google
За выходные в результате сложной атаки, в которой были задействованы форумы управления проектом, были украдены токены Audius AUDIO на сумму около 1,1 миллиона долларов.
Audius, токенизированный музыкальный потоковый проект, полагается на голосование сообщества и управление для принятия решений. В субботу вредоносное предложение заставило злоумышленников разместить фейковый пост и манипулировать токенизированными голосами, чтобы украсть средства.
Продолжение Читайте Ниже
Первоначально злоумышленники выдвинули «Предложение № 84», которое делегировало 10 триллионов AUDIO внутри контракта на стейкинг (без изменения предложения токенов). Эта транзакция не удалась, поскольку по предложению не было подано ни одного голоса.
Затем злоумышленники выдвинули «Предложение № 85», в котором запрашивалась передача 18 миллионов токенов AUDIO в голосовании по управлению. Затем злоумышленники «смогли вызвать initialize() и назначить себя единственным хранителем» этого контракта по управлению, объяснили разработчики Audius в отчете о вскрытии в понедельник.
Функция initialize() дает программе ее начальную точку данных в смарт-контракте. Это позволило злоумышленнику контролировать предложение по управлению единолично и передавать токены по мере передачи предложения.
После того, как было выдвинуто предложение № 85, была выполнена транзакция, которая делегировала 10 триллионов AUDIO в качестве голосов, тем самым перекосив предложение в пользу злоумышленника. Оборотное предложение не было затронуто, но предложение было принято, поскольку ошибочные голоса смогли обмануть смарт-контакты Audius. Это позволило злоумышленникам злонамеренно перевести 18 миллионов токенов AUDIO , удерживаемых контрактом управления Audius , называемым «сообществом казначейства, в кошелек под их контролем».
Затем украденные токены были обменены на более чем 700 эфиров , что на момент написания статьи составило около 1,08 миллиона долларов, на сервисе обмена Политика конфиденциальности Tornado Cash, как показывают данные блокчейна кошелька злоумышленника – 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.
Тем временем разработчики Audius заявили, что ошибка позволила злоумышленнику передать функцию initialize(). «Контракты Audius по управлению, стейкингу и делегированию в основной сети Ethereum », — пояснили разработчики в отчете о вскрытии.
«[Они] были скомпрометированы из-за ошибки в коде инициализации контракта, которая допускала повторные вызовы функций инициализации», — добавили они.
Набор эксплуатируемых контрактов ранее был проверен командой OpenZeppelin, но уязвимость T была обнаружена в то время, заявили разработчики Audius . Все оставшиеся средства в безопасности, и исправления были развернуты по состоянию на понедельник.
Больше для вас
Citadel Securities поддерживает LayerZero при запуске блокчейна «Zero» для глобальных рынков
Citadel сделал стратегическую инвестицию в токен ZRO компании LayerZero в то время, как фирма по обеспечению интероперабельности запускает свой высокопроизводительный блокчейн.
Что нужно знать:
- Citadel Securities инвестировала в токен ZRO компании LayerZero и сотрудничает по вопросам структуры рынка и пост-торговых применений.
- LayerZero представила "Zero", гетерогенную блокчейн-платформу, нацеленную на миллионы транзакций в секунду и практически нулевые комиссионные сборы.
- DTCC, ICE, Google Cloud и ARK Invest сотрудничают или инвестируют, поскольку институциональные инвесторы исследуют токенизированные рынки.
