Hacker drena US$ 1,08 milhão da Audius após aprovação de proposta maliciosa
Uma proposta de governança maliciosa (Proposta nº 85) solicitando a transferência de 18 milhões de tokens AUDIO internos da Audius no valor de US$ 6,1 milhões foi aprovada por meio de uma exploração.
As propostas em criptomoedas ajudam as comunidades a tomar decisões baseadas em consenso. No entanto, para a plataforma de música descentralizada Audius, a aprovação de uma proposta de governança maliciosa resultou na transferência de tokens no valor de US$ 6,1 milhões, com o hacker levando US$ 1 milhão.
Em 24 de julho, uma proposta maliciosa (Proposta #85) solicitando a transferência de 18 milhões de tokens AUDIO internos da Audius foi aprovada por votação da comunidade. Apontado pela primeira vez no Crypto Twitter por @spreekaway, o invasor criou a proposta maliciosa em que eles foram “capazes de chamar e se definir como o único guardião do contrato de governança”.
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you’d like to help our response team, please reach out.
— Audius (@AudiusProject) July 24, 2022
Falando ao Cointelegraph, o cofundador e CEO da Audius, Roneil Rumburg, esclareceu que a comunidade não aprovou uma proposta maliciosa:
Esta foi uma exploração – não uma proposta proposta ou passada por qualquer meio legítimo – apenas aconteceu de usar o sistema de governança como ponto de entrada para o ataque.
Uma investigação adicional da Auduis confirmou a transferência não autorizada de tokens AUDIO do tesouro da empresa. Após a revelação, a Auduis interrompeu proativamente todos os contratos inteligentes da Audius e tokens AUDIO na blockchain Ethereum para evitar mais perdas. A empresa, no entanto, retomou as transferências de tokens logo depois, acrescentando que a “funcionalidade restante do contrato inteligente está sendo retomada após uma análise/mitigação completa da vulnerabilidade”.
O investigador de blockchain Peckshield reduziu a falha às inconsistências de layout de armazenamento do Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Embora a proposta de governança do hacker tenha drenado 18 milhões de tokens no valor de quase US$ 6 milhões do tesouro, logo foi descartado e vendido por US$ 1,08 milhão. Embora o dumping tenha resultado em derrapagem máxima, os investidores recomendaram uma recompra imediata para evitar que os investidores existentes despejem e reduzam ainda mais o preço mínimo do token.
Os investidores ainda precisam esclarecer os fundos roubados, como um investidor perguntou: “Eles hackearam o fundo comunitário, certo? O fundo da equipe é separado correto?”
Rumburg confirmou com o Cointelegraph que a causa raiz da exploração foi mitigada e não pode ser reexplorada. Dado que a tesouraria da comunidade é mantida separada da tesouraria da fundação, os fundos restantes permanecem a salvo de qualquer exploração.
O criador do Bored Ape Yacht Club (BAYC), Yuga Labs, emitiu seu segundo aviso sobre um esperado “ataque coordenado” em suas contas de mídia social.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Em junho, Gordon Goner, cofundador pseudônimo do Yuga Labs, emitiu o primeiro aviso de um possível ataque em suas contas de mídia social no Twitter. Logo após o aviso, os funcionários do Twitter monitoraram ativamente as contas e fortaleceram a segurança existente.