Tin tặc rút 1,08 triệu USD từ Audius sau khi chuyển đề xuất độc hại
Một đề xuất quản trị độc hại (Đề xuất # 85) yêu cầu chuyển 18 triệu mã thông báo AUDIO nội bộ của Audius trị giá 6,1 triệu USD đã được phê duyệt thông qua một khai thác.
Các đề xuất trong tiền điện tử giúp cộng đồng đưa ra quyết định dựa trên sự đồng thuận. Tuy nhiên, đối với nền tảng âm nhạc phi tập trung Audius, việc thông qua một đề xuất quản trị độc hại đã dẫn đến việc chuyển các mã thông báo trị giá 6,1 triệu USD, và hacker đã kiếm được 1 triệu USD.
Vào Chủ nhật, một đề xuất độc hại, Đề xuất số 85, yêu cầu chuyển 18 triệu mã thông báo AUDIO nội bộ của Audius đã được chấp thuận bởi cộng đồng bỏ phiếu. Lần đầu tiên được chỉ ra trên Twitter Crypto bởi spreekaway, kẻ tấn công đã tạo ra đề xuất độc hại trong đó họ “có thể gọi khởi tạo và tự đặt mình là người bảo vệ duy nhất của hợp đồng quản trị.”
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you'd like to help our response team, please reach out.
— Audius 🎧 (@AudiusProject) July 24, 2022
Người đồng sáng lập và Giám đốc điều hành Audius, Roneil Rumburg đã làm rõ rằng cộng đồng đã không thông qua một đề xuất ác ý:
“Đây là một vụ lợi dụng – không phải là một đề xuất được đề xuất hoặc thông qua bất kỳ phương tiện hợp pháp nào – nó chỉ xảy ra khi sử dụng hệ thống quản trị làm đầu vào cho cuộc tấn công.”
Điều tra thêm từ Audius đã xác nhận việc chuyển trái phép mã thông báo AUDIO từ kho bạc của công ty. Sau tiết lộ, Audius đã chủ động tạm dừng tất cả các hợp đồng thông minh Audius và mã thông báo AUDIO trên chuỗi khối Ethereum để tránh tổn thất thêm. Tuy nhiên, công ty đã tiếp tục chuyển mã thông báo ngay sau đó, đồng thời nói thêm rằng “Chức năng hợp đồng thông minh còn lại đang bị tạm dừng sau khi kiểm tra kỹ lưỡng / giảm thiểu lỗ hổng bảo mật”.
Nhà điều tra chuỗi khối Peckshield đã thu hẹp lỗi đối với sự không nhất quán về bố cục lưu trữ của Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Trong khi đề xuất quản trị của hacker rút hết 18 triệu mã thông báo trị giá gần 6 triệu USD từ kho bạc, nó đã sớm bị bán phá giá và được bán với giá 1,08 triệu USD. Trong khi việc bán phá giá dẫn đến trượt giá tối đa, các nhà đầu tư đã khuyến nghị mua lại ngay lập tức để ngăn các nhà đầu tư hiện tại bán phá giá và giảm giá sàn của mã thông báo hơn nữa.
Các nhà đầu tư vẫn chưa hiểu rõ về các khoản tiền bị đánh cắp, như một nhà đầu tư đã hỏi, “Họ đã hack quỹ cộng đồng phải không? Quỹ của đội là riêng đúng không? ”
Rumburg xác nhận rằng nguyên nhân gốc rễ của việc khai thác đã được giảm thiểu và không thể khai thác lại. Cho rằng kho bạc cộng đồng được giữ tách biệt với kho quỹ nền tảng, các quỹ còn lại vẫn an toàn trước bất kỳ hoạt động khai thác nào.
Yuga Labs, người tạo mã thông báo không thể xâm nhập được Bored Ape Yacht Club (BAYC) đã đưa ra cảnh báo thứ hai về một “cuộc tấn công phối hợp” dự kiến trên các tài khoản mạng xã hội của mình.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Vào tháng 6, Gordon Goner, người đồng sáng lập có bút danh của Yuga Labs, đã đưa ra cảnh báo đầu tiên về một cuộc tấn công có thể xảy ra trên các tài khoản mạng xã hội Twitter của nó. Ngay sau cảnh báo, các quan chức Twitter đã tích cực theo dõi các tài khoản và củng cố bảo mật hiện có của chúng.