Návrhy v oblasti krypta pomáhají komunitám přijímat rozhodnutí na základě konsensu. V případě decentralizované hudební platformy Auduis však přijetí škodlivého návrhu na správu vedlo k převodu tokenů v hodnotě 6,1 milionu dolarů, přičemž hacker si odnesl 1 milion dolarů.
Škodlivý návrh
Dne 24. července byl komunitním hlasováním schválen škodlivý návrh (návrh č. 85) požadující převod 18 milionů interních tokenů AUDIO společnosti Audius. Jak poprvé upozornil na Crypto Twitteru @spreekaway, útočník vytvořil škodlivý návrh, v němž byl “schopen zavolat funkci initialize() a nastavit se jako jediný strážce smlouvy o správě”.
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you'd like to help our response team, please reach out.
— Audius 🎧 (@AudiusProject) July 24, 2022
Spoluzakladatel a generální ředitel společnosti Audius Roneil Rumburg upřesnil, že komunita škodlivý návrh nepřijala:
“Jednalo se o exploit – nešlo o návrh navržený nebo předaný jakýmkoli legitimním způsobem – pouze se stalo, že byl jako vstupní bod pro útok použit systém governance.”
Další vyšetřování společnosti Auduis potvrdilo neoprávněný převod tokenů AUDIO z pokladny společnosti. Po tomto odhalení společnost Auduis proaktivně zastavila všechny inteligentní kontrakty Audius a tokeny AUDIO v ETH blockchainu, aby zabránila dalším ztrátám. Společnost však krátce poté převody tokenů obnovila a dodala, že “zbývající funkce chytrých kontraktů jsou po důkladném prozkoumání/vyřešení zranitelnosti odblokovány”.
Nekonzistence rozvržení úložiště
Vyšetřovatel blockchainu Peckshield zúžil závadu na nekonzistenci rozvržení úložiště Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Zatímco návrh hackera na správu odčerpal z pokladny 18 milionů tokenů v hodnotě téměř 6 milionů dolarů, byl brzy vyhozen a prodán za 1,08 milionu dolarů. Zatímco dumping vedl k maximálnímu skluzu, investoři doporučili okamžitý odkup, aby zabránili stávajícím investorům v dumpingu a dalšímu snížení minimální ceny tokenu.
Investoři zatím nemají jasno ohledně ukradených prostředků, protože jeden z investorů se zeptal:
“Nabourali komunitní fond, že? Fond týmu je oddělený, je to tak?”
Rumburg potvrdil, že hlavní příčina exploitu byla zmírněna a nemůže být znovu zneužita. Vzhledem k tomu, že komunitní pokladna je vedena odděleně od pokladny nadace, zůstávají zbývající prostředky před jakýmkoli zneužitím v bezpečí.
Varování
Společnost Yuga Labs, tvůrce Bored Ape Yacht Club (BAYC), vydala již druhé varování před očekávaným “koordinovaným útokem” na účty na sociálních sítích.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
V červnu vydal Gordon Goner, pseudonymní spoluzakladatel společnosti Yuga Labs, první varování před možným přicházejícím útokem na její účty na sociálních sítích Twitter. Záhy po tomto varování představitelé společnosti Twitter aktivně monitorovali účty a posílili jejich stávající zabezpečení.
Závěr
Vzhledem k povaze decentralizovaných aplikací budou pro hackery stále vyhledávanou oblastí. Pohybujte se v decentralizovaném světě bezpečně.
Máte-li jakýkoli dotaz týkající se kryptoměn, neváhejte se přidat do naší diskuzní skupiny na Facebooku. Nezapomeňte se také připojit na náš oficiální discord server KRYPTOMAGAZIN CZ.