Como os invasores roubaram cerca de US$ 1,1 milhão em tokens do projeto de música descentralizada Audius

Cerca de US$ 1,1 milhão em tokens AUDIO do Audius foram roubados no fim de semana em um ataque sofisticado que envolveu os fóruns de governança do projeto.

Audius, um projeto de streaming de música tokenizado, depende da votação e governança da comunidade para tomar decisões. No sábado, uma proposta maliciosa fez com que invasores colocassem uma postagem falsa e manipulassem votos de token para roubar fundos.

Os atacantes inicialmente lançaram a “Proposta #84”, que delegou 10 trilhões de AUDIO internamente para o contrato de staking (sem alteração no fornecimento de tokens). Essa transação falhou porque nenhum voto foi dado à proposta.

Os invasores então lançaram a “Proposta #85”, que solicitou a transferência de 18 milhões de tokens AUDIO em uma votação de governança. Os invasores então “puderam chamar initialize() e se definir como o único guardião” daquele contrato de governança, explicaram os desenvolvedores do Audius em um relatório post-mortem na segunda-feira.

A função initialize() fornece a um programa seu ponto de dados inicial em um contrato inteligente. Isso permitiu que o invasor controlasse a proposta de governança exclusivamente e transferisse tokens conforme a proposta era passada.

Após a Proposta #85 ser colocada, uma transação foi executada que delegou 10 trilhões de AUDIO para os votos, distorcendo assim a proposta em favor do invasor. O fornecimento circulante não foi afetado, mas a proposta foi aprovada, pois os votos errôneos foram capazes de enganar os contatos inteligentes da Audius. Isso permitiu que os invasores transferissem maliciosamente 18 milhões de tokens de AUDIO mantidos pelo contrato de governança da Audius , conhecido como "tesouro da comunidade", para uma carteira sob seu controle.

Os tokens roubados foram então trocados por mais de 700 ethers (ETH), avaliados em cerca de US$ 1,08 milhão no momento da redação deste artigo, no serviço de troca de Política de Privacidade Tornado Cash, mostram os dados do blockchain da carteira do invasor –0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.

Enquanto isso, os desenvolvedores do Audius disseram que um bug permitiu que o invasor passasse a função initialize(). “Os contratos de governança, staking e delegação do Audius na mainnet Ethereum ”, os desenvolvedores explicaram no post-mortem.

“[Eles] foram comprometidos devido a um bug no código de inicialização do contrato que permitia invocações repetidas das funções de inicialização”, acrescentaram.

O conjunto de contratos explorados foi previamente auditado pela equipe do OpenZeppelin, mas a vulnerabilidade T foi pega na época, disseram os desenvolvedores do Audius . Todos os fundos restantes estão seguros e as correções foram implantadas na segunda-feira.