Хакер увел 1,08 миллиона долларов из Audius после передачи вредоносного предложения

Предложения в криптосообществах помогают принимать решения на основе консенсуса. Однако для децентрализованной музыкальной платформы Auduis принятие злонамеренного предложения по управлению привело к передаче токенов на сумму 5,9 миллиона долларов, при этом хакер забрал 1 миллион долларов.

24 июля злонамеренное предложение (Предложение №85) о передаче 18 миллионов собственных токенов Audius AUDIO было одобрено голосованием сообщества. Впервые упомянутый @spreekaway в Crypto Twitter, злоумышленник создал вредоносное предложение, в котором они «могли вызвать initialize () и установить себя в качестве единственного хранителя контракта на управление».

Всем привет — нашей команде известно о сообщениях о несанкционированной передаче токенов AUDIO из казны сообщества. Мы активно расследуем и сообщим, как только узнаем больше.

Если вы хотите помочь нашей группе реагирования, пожалуйста, свяжитесь с нами.

— Аудиус (@AudiusProject) 24 июля 2022 г.

Дальнейшее расследование Auduis подтвердило несанкционированную передачу токенов AUDIO из казны компании. После разоблачения Auduis активно остановил все смарт-контракты Audius и токены AUDIO в блокчейне Ethereum.

Исследователь блокчейна Peckshield сузил ошибку до несоответствий схемы хранения Audius.

Проблема @AudiusProject заключается в несогласованности схемы хранения между его прокси и импл. В частности, коллизия контракта Audius Community Treasury приводит к эквивалентности отключения модификатора инициализатора. Здесь играет роль адрес proxyAdmin (0x..abac). pic.twitter.com/x4CqRncahp

— PeckShield Inc. (@peckshield) 24 июля 2022 г.

В то время как предложение хакера по управлению лишило казну 18 миллионов токенов на сумму почти 6 миллионов долларов, оно вскоре было сброшено и продано за 1,08 миллиона долларов. Хотя демпинг привел к максимальному проскальзыванию, инвесторы рекомендовали немедленный выкуп, чтобы предотвратить демпинг существующих инвесторов и дальнейшее снижение минимальной цены токена.

Инвесторам еще предстоит получить ясность по поводу украденных средств, поскольку один инвестор спросил: «Они взломали фонд сообщества, верно? Фонд команды отдельный, верно?»

Пока готовится отчет о вскрытии, Audius еще не ответил на запрос о комментариях.

Связанный: Yuga Labs предупреждает о «группе постоянных угроз», нацеленной на держателей NFT

Создатель Bored Ape Yacht Club (BAYC) Yuga Labs выпустил второе предупреждение об ожидаемой «скоординированной атаке» на свои учетные записи в социальных сетях.

Наша команда безопасности отслеживает группу постоянных угроз, нацеленных на сообщество NFT. Мы считаем, что вскоре они могут начать скоординированную атаку, нацеленную на несколько сообществ через скомпрометированные учетные записи в социальных сетях. Пожалуйста, будьте бдительны и оставайтесь в безопасности.

— Лаборатории Юга (@yugalabs) 18 июля 2022 г.

В июне Гордон Гонер, соучредитель Yuga Labs под псевдонимом, опубликовал первое предупреждение о возможной входящей атаке на свои аккаунты в социальных сетях Twitter. Вскоре после предупреждения официальные лица Twitter активно контролировали учетные записи и усилили их существующую безопасность.

Источник: Сointеlеgrаph