黑客 加密貨幣領域內的情況非常頻繁。 近日,去中心化音樂平台Audiis損失18.5萬 AUDIO 惡意攻擊後的代幣(6 萬美元)。
斷弦
24 月 XNUMX 日,由於合約初始化代碼中的漏洞允許重複調用“初始化”函數,Audius 社區金庫損失慘重。 各自的團隊在社交媒體平台上分享了這一進展。
大家好——我們的團隊知道有關從社區金庫中未經授權轉移 AUDIO 代幣的報告。 我們正在積極調查,並會在我們了解更多信息後立即報告。
如果您想幫助我們的響應團隊,請聯繫我們。
— 奧迪斯? (@AudiusProject) 2022 年 7 月 24 日
不同的機構/公司努力發布事後報告,以深入分析上述攻擊背後的情況。
一個名為的加密和區塊鏈安全分析平台 切爾蒂克 發布了一個簡單的概述來強調相同的內容。
#社區警報 ?
@Audius項目 已被利用總共價值約 6 萬美元的 AUDIO 代幣,這些代幣以 705 ETH 的價格出售。
攻擊者修改了 Audius 治理合約的配置,然後提出並執行了消耗 18.5M AUDIO 的惡意提案。 pic.twitter.com/djuAO1Jarv
— CertiK 警報 (@CertiKalert) 2022 年 7 月 24 日
在這裡,攻擊者修改了 Audius 治理合約的配置,然後提出並執行了一個惡意提案,消耗了 18.5m 音頻。
T這允許攻擊者修改投票系統並在網絡中設置錯誤的權益值。
因此,導致惡意轉賬18m AUDIO Audius 治理合約(稱為“社區金庫”)在其錢包中持有的代幣。
後來,攻擊者能夠提出一個提案,通過它,向自己發送所有的國庫代幣,然後 轉儲它 on Uniswap 在一筆交易中。 值得注意的是,攻擊者以 18 ETH(705 萬美元)的價格出售了 1.1 萬個 AUDIO 代幣。
好像是 6 萬美元 $音頻 ETH 的交易價格僅略高於 1 萬美元。 https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv
— MistTrack?️ (@MistTrack_io) 2022 年 7 月 24 日
此外,另一家公司 Go+ Security 也是如此 共享 24 月 XNUMX 日的簡要分析強調了上述攻擊。 在博客中,該公司添加了一個小流程圖,斷言了完整的攻擊向量。
篡改投票參數->提交惡意提案->篡改投票權重->投票->執行提案
該公司進一步補充了深入分析,包括 截圖 上述不幸事件發生的時間。 另一位區塊鏈調查員 防風罩 將故障範圍縮小到奧迪斯的存儲佈局不一致。
問題 @Audius項目 在於其代理和實現之間的存儲佈局不一致。 特別是,Audius Community Treasury 合約的衝突導致相當於禁用初始化修飾符。 proxyAdmin addr (0x..abac) 在這裡發揮作用。 pic.twitter.com/x4CqRncahp
— PeckShield Inc.(@peckshield) 2022 年 7 月 24 日
損害控制?
Audius 團隊更新了該漏洞 已修補但出於對風險的擔憂,諸如代幣轉賬、餘額顯示等諸多功能並未啟用。
“這是通過“將每個合約代理升級為不包含相同錯誤的最小 BlockingContract 來實現的。 在將 proxyAdmin 控制權委託給團隊擁有的預定義地址後,這可以防止進一步重複調用。”
但這對受影響的代幣有幫助嗎? 好吧,不是真的。 如下圖所示,該代幣在 CoinMarketCap 上大幅下跌。
來源:CoinMarketCap
截至撰寫本文時,代幣 (AUDIO) 再次回調 2%,跌破 0.33 美元大關。
資料來源:https://ambcrypto.com/audius-autopsy-of-6m-music-heist-reveals-some-out-of-key-notes/