Come gli aggressori hanno rubato circa 1,1 milioni di dollari in token dal progetto musicale decentralizzato Audius

Circa 1,1 milioni di dollari in token AUDIO di Audius sono stati rubati nel fine settimana in un attacco sofisticato che ha coinvolto i forum di governance del progetto.

Audius, un progetto di streaming musicale tokenizzato, si affida al voto della comunità e alla governance per prendere decisioni. Sabato, una proposta dannosa ha visto gli aggressori pubblicare un post falso e manipolare i voti dei token per rubare fondi.

Inizialmente gli aggressori hanno lanciato la "Proposta n. 84", che delegava internamente 10 trilioni AUDIO al contratto di staking (senza alcuna modifica alla fornitura di token). Tale transazione è fallita perché non sono stati espressi voti sulla proposta.

Gli aggressori hanno quindi lanciato la "Proposta n. 85", che richiedeva il trasferimento di 18 milioni di token AUDIO in un voto di governance. Gli aggressori sono stati quindi "in grado di chiamare initialize() e di impostarsi come unico guardiano" di quel contratto di governance, hanno spiegato gli sviluppatori Audius in un rapporto post-mortem di lunedì.

La funzione initialize() fornisce a un programma il suo punto dati iniziale in uno smart contract. Ciò ha consentito all'attaccante di controllare esclusivamente la proposta di governance e di trasferire token man mano che la proposta veniva approvata.

Dopo che la Proposta n. 85 è stata presentata, è stata eseguita una transazione che ha delegato 10 trilioni AUDIO ai voti, distorcendo così la proposta a favore dell'attaccante. La fornitura circolante non è stata influenzata, ma la proposta è stata approvata poiché i voti errati sono stati in grado di ingannare i contatti intelligenti di Audius. Ciò ha consentito agli aggressori di trasferire in modo dannoso 18 milioni di token AUDIO detenuti dal contratto di governance Audius , denominato "tesoreria della comunità, a un portafoglio sotto il loro controllo".

I token rubati sono stati poi scambiati con oltre 700 ether ETH$3027,95, per un valore di circa 1,08 milioni di dollari al momento in cui scriviamo, sul servizio di Privacy swap Tornado Cash, come mostrano i dati blockchain del portafoglio dell'aggressore: 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.

Nel frattempo, gli sviluppatori Audius hanno affermato che un bug ha consentito all'attaccante di passare la funzione initialize(). "I contratti di governance, staking e delega Audius sulla mainnet Ethereum ", hanno spiegato gli sviluppatori nel post-mortem.

"[Questi] sono stati compromessi a causa di un bug nel codice di inizializzazione del contratto che consentiva ripetute invocazioni delle funzioni di inizializzazione", hanno aggiunto.

Il set di contratti sfruttati è stato precedentemente verificato dal team di OpenZeppelin, ma la vulnerabilità T è stata individuata al momento, hanno affermato gli sviluppatori Audius . Tutti i fondi rimanenti sono al sicuro e le correzioni sono state implementate a partire da lunedì.