En breve
- Audius, una plataforma de música Web3, fue hackeada el sábado por más de $6 millones en tokens de AUDIO basados en Ethereum.
- El atacante intercambió los tokens por menos de $1.1 millones en ETH y luego canalizó el ETH a través de un servicio de mezcla de transacciones.
Servicio de transmisión de música descentralizado Audius fue pirateado por más de $ 6 millones en AUDIO fichas durante el fin de semana, que el atacante robó de su gobierno contrato inteligente. en un informe post mortem lanzado el domingo por la noche, el servicio detalló el ataque y la respuesta, y señaló que se explotó un error no descubierto a pesar de las auditorías de seguridad anteriores.
Según el informe, el hacker aprovechó un error en el código de inicialización del contrato inteligente que le permitió manipular el servicio. Etéreo-basados en contratos de gobierno, participación y delegación. Un contrato inteligente es el código que alimenta las aplicaciones descentralizadas (dapps) en Web3que permite que las aplicaciones, los juegos y los protocolos funcionen sin intermediarios centralizados.
Dado ese modelo descentralizado, Audius usa ERC-20 basado en Ethereum fichas (AUDIO) para permitir la gobernanza comunitaria. Sin embargo, este modelo finalmente fue explotado el sábado. A través de la explotación, el atacante alteró la estructura de votación de Audius e intentó dos veces delegar 10 billones de tokens de AUDIO a su cartera impulsar propuestas de gobernanza.
Se ha encontrado el problema y se están realizando correcciones para que las cosas vuelvan a un estado estable.
Para evitar más daños, todos los contratos inteligentes de Audius en Ethereum tuvieron que detenerse, incluido el token.
No creemos que haya más fondos en riesgo.
Más actualizaciones / post-mortem pronto. https://t.co/i3MM9WjjgE
— Audius 🎧 (@AudiusProject) 24 de julio de 2022
Estos movimientos no afectaron el suministro de tokens de AUDIO, solo el propio sistema de participación de tokens de la plataforma. Sin embargo, permitió que el atacante aprobara una propuesta de gobierno que envió la totalidad del conjunto de tokens de la comunidad:casi 18,6 millones de tokens de AUDIO—a un Ethereum externo cartera. Los tokens tenían un valor colectivo de casi 6,1 millones de dólares en el momento del atraco.
Según una cronología de eventos compartida por Audius, el equipo del proyecto fue alertado del ataque unos 25 minutos después de la transferencia del token. Luego, el equipo trajo rápidamente un seudónimo hacker de sombrero blanco samczsun de la firma de capital de riesgo Paradigm, que ha ayudó con éxito a frustrar intentos anteriores de explotación de contratos inteligentes para ayudar en la respuesta.
Al darse cuenta de que el exploit aún estaba activo, el equipo desarrolló correcciones que aprovecharon la misma vulnerabilidad para finalmente detener su uso, y pasó las siguientes horas implementando parches para detener cualquier ataque adicional. El equipo aún está desarrollando correcciones a más largo plazo, con más actualizaciones prometidas esta semana.
En el informe post mórtem, el equipo de Audius fue franco sobre las posibles deficiencias o descuidos que podrían haber permitido el atraco y/o retrasado su respuesta.
Por ejemplo, el equipo no había trabajado activamente en su código Solidity/Ethereum Virtual Machine (EVM) en casi dos años. “A la gente le tomó tiempo volver a ponerse al día con todas las cosas aquí”, escribió el equipo, y señaló que se mantendría “más en sintonía con el último estado del arte de las herramientas de desarrollo/depuración” en el futuro.
Sin embargo, los contratos inteligentes de Audius habían sido auditados por grupos de seguridad, primero por OpenZeppelin en agosto de 2020, y Kudelski auditó más adiciones de contratos en octubre de 2021. Aun así, esa vulnerabilidad permaneció abierta al público durante casi dos años desde que los contratos se firmaron por primera vez. implementado en octubre de 2020.
“Las auditorías no son a prueba de balas”, escribió el equipo, y señaló que el tiempo de un contrato que se pasa en la naturaleza sin problemas “puede ayudar a generar confianza, pero no descarta oportunidades de explotación”.
Si bien los tokens se valoraron colectivamente en más de $ 6 millones, el atacante los intercambió por un valor mucho más bajo de Ethereum, tal vez en la prisa por lavar los fondos. Los tokens se intercambiaron por poco más de 704 Wrapped Ethereum (WETH), con un valor aproximado de 1,07 millones de dólares.el sábado en la noche a través de Uniswapel líder intercambio descentralizado.
Posteriormente, el atacante envió casi todo el ETH a través de Efectivo Tornadoun servicio de mezcla que combina monedas de múltiples transacciones para dificultar el seguimiento de la ruta de los fondos criptográficos en una cadena de bloques.