Поделиться этой статьей
Как злоумышленники украли токены на сумму около 1,1 млн долларов у децентрализованного музыкального проекта Audius
Сложная эксплойтная атака заключалась в том, что злоумышленники передавали вредоносное предложение по управлению, используя смарт-контракты.
Автор Shaurya Malwa
За выходные в результате сложной атаки, в которой были задействованы форумы управления проектом, были украдены токены Audius AUDIO на сумму около 1,1 миллиона долларов.
Audius, токенизированный музыкальный потоковый проект, полагается на голосование сообщества и управление для принятия решений. В субботу вредоносное предложение заставило злоумышленников разместить фейковый пост и манипулировать токенизированными голосами, чтобы украсть средства.
Продолжение Читайте Ниже
Первоначально злоумышленники выдвинули «Предложение № 84», которое делегировало 10 триллионов AUDIO внутри контракта на стейкинг (без изменения предложения токенов). Эта транзакция не удалась, поскольку по предложению не было подано ни одного голоса.
Затем злоумышленники выдвинули «Предложение № 85», в котором запрашивалась передача 18 миллионов токенов AUDIO в голосовании по управлению. Затем злоумышленники «смогли вызвать initialize() и назначить себя единственным хранителем» этого контракта по управлению, объяснили разработчики Audius в отчете о вскрытии в понедельник.
Функция initialize() дает программе ее начальную точку данных в смарт-контракте. Это позволило злоумышленнику контролировать предложение по управлению единолично и передавать токены по мере передачи предложения.
После того, как было выдвинуто предложение № 85, была выполнена транзакция, которая делегировала 10 триллионов AUDIO в качестве голосов, тем самым перекосив предложение в пользу злоумышленника. Оборотное предложение не было затронуто, но предложение было принято, поскольку ошибочные голоса смогли обмануть смарт-контакты Audius. Это позволило злоумышленникам злонамеренно перевести 18 миллионов токенов AUDIO , удерживаемых контрактом управления Audius , называемым «сообществом казначейства, в кошелек под их контролем».
Затем украденные токены были обменены на более чем 700 эфиров , что на момент написания статьи составило около 1,08 миллиона долларов, на сервисе обмена Политика конфиденциальности Tornado Cash, как показывают данные блокчейна кошелька злоумышленника – 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.
Тем временем разработчики Audius заявили, что ошибка позволила злоумышленнику передать функцию initialize(). «Контракты Audius по управлению, стейкингу и делегированию в основной сети Ethereum », — пояснили разработчики в отчете о вскрытии.
«[Они] были скомпрометированы из-за ошибки в коде инициализации контракта, которая допускала повторные вызовы функций инициализации», — добавили они.
Набор эксплуатируемых контрактов ранее был проверен командой OpenZeppelin, но уязвимость T была обнаружена в то время, заявили разработчики Audius . Все оставшиеся средства в безопасности, и исправления были развернуты по состоянию на понедельник.
Больше для вас
Что нужно знать:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
Больше для вас
Solana’s Drift запускает версию v3 с торговлей в 10 раз быстрее
По словам команды, с версией v3 около 85% рыночных ордеров будут исполняться менее чем за полсекунды, а ликвидность станет достаточно глубокой, чтобы снизить проскальзывание при крупных сделках до примерно 0,02%.
Что нужно знать:
- Drift, одна из крупнейших платформ для торговли вечными контрактами на Solana, запустила Drift v3 — значительное обновление, призванное сделать торговлю в блокчейне такой же быстрой и плавной, как и использование централизованной биржи.
- Новая версия обеспечит выполнение сделок в 10 раз быстрее благодаря полностью переработанному бэкенду, что станет самым значительным улучшением производительности проекта на сегодняшний день.
Главное
