Paano Ninakaw ng Mga Attacker ang Humigit-kumulang $1.1M na Halaga ng Token Mula sa Desentralisadong Music Project Audius

Humigit-kumulang $1.1 milyon na halaga ng Audius' AUDIO token ang ninakaw noong weekend sa isang sopistikadong pag-atake na kinasasangkutan ng mga forum ng pamamahala ng proyekto.

Ang Audius, isang tokenized music streaming project, ay umaasa sa pagboto at pamamahala ng komunidad upang makagawa ng mga desisyon. Noong Sabado, nakita ng isang malisyosong panukala ang mga umaatake na naglagay ng pekeng post at manipulahin ang mga token vote para magnakaw ng mga pondo.

Ang mga umaatake ay unang nagpalutang ng "Proposal #84," na nagtalaga ng 10 trilyong AUDIO sa loob ng kontrata ng staking (nang walang pagbabago sa supply ng token). Nabigo ang transaksyong iyon dahil walang naboto sa panukala.

Pagkatapos ay pinalutang ng mga attacker ang "Proposal #85," na humiling ng paglipat ng 18 milyong AUDIO token sa isang boto sa pamamahala. Ang mga umaatake noon ay "nakatawag ng initialize() at itinakda ang kanyang sarili bilang nag-iisang tagapag-alaga" ng kontrata sa pamamahala na iyon, ipinaliwanag ng mga developer ng Audius sa isang post-mortem na ulat noong Lunes.

Ang initialize() function ay nagbibigay sa isang programa ng paunang data point nito sa isang matalinong kontrata. Nagbigay-daan iyon sa umaatake na kontrolin lamang ang panukala sa pamamahala at maglipat ng mga token habang naipasa ang panukala.

Pagkatapos mailagay ang Proposal #85, isang transaksyon ang naisagawa na nagtalaga ng 10 trilyong AUDIO para sa mga boto, kaya nabaling ang panukala pabor sa umaatake. Hindi naapektuhan ang circulating supply, ngunit pumasa ang panukala dahil nagawang linlangin ng mga maling boto ang mga matalinong contact ni Audius. Nagbigay-daan iyon sa mga umaatake na malisyosong maglipat ng 18 milyong AUDIO token na hawak ng kontrata ng pamamahala ng Audius , na tinutukoy bilang "kaban ng bayan, sa isang wallet na kanilang kontrol."

Ang mga ninakaw na token ay pagkatapos ay ipinagpalit ng higit sa 700 ethers (ETH), na nagkakahalaga ng humigit-kumulang $1.08 milyon sa oras ng pagsulat, sa serbisyo ng Privacy swap na Tornado Cash, blockchain data ng wallet ng umaatake –0xa62c3ced6906b188a4d4a3c981b79f7aabf210.

Samantala, sinabi ng mga developer ng Audius na pinahintulutan ng isang bug ang attacker na ipasa ang initialize() function. "Ang pamamahala ng Audius , staking, at mga kontrata ng delegasyon sa Ethereum mainnet," ipinaliwanag ng mga developer sa post-mortem.

"[Ang mga ito] ay nakompromiso dahil sa isang bug sa code ng pagsisimula ng kontrata na nagpapahintulot sa paulit-ulit na mga invocation ng mga function ng pagsisimula," idinagdag nila.

Ang hanay ng mga pinagsamantalang kontrata ay dati nang na-audit ng OpenZeppelin team, ngunit ang kahinaan ay T nahuli noong panahong iyon, sinabi ng mga developer ng Audius . Ang lahat ng natitirang pondo ay ligtas at ang mga pag-aayos ay nai-deploy na noong Lunes.