«Аудити не є куленепробивними»: як зламали Audius за 6 мільйонів доларів у токенах Ethereum

Децентралізований сервіс потокової музики Audius був зламаний для отримання АУДІО вартістю понад 6 мільйонів доларів лексеми за вихідні, які зловмисник викрав у його управління розумний контракт. У посмертний звіт У опублікованому ввечері в неділю сервіс детально описує атаку та реакцію, а також зазначає, що невиявлену помилку було використано, незважаючи на минулі перевірки безпеки.

Згідно зі звітом, хакер виявив помилку в коді ініціалізації смарт-контракту, яка дозволяла маніпулювати сервісом Ethereumконтракти на управління, ставки та делегування. Смарт-контракт — це код, який підтримує децентралізовані програми (dappsв) Web3, що дозволяє додаткам, іграм і протоколам працювати без централізованих посередників.

Враховуючи цю децентралізовану модель, Audius використовує ERC-20 на основі Ethereum лексеми (АУДІО), щоб уможливити управління громадою. Однак ця модель була остаточно використана в суботу. За допомогою експлойту зловмисник змінив структуру голосування Audius і двічі намагався делегувати 10 трильйонів токенів AUDIO своїм кошелек просувати пропозиції щодо управління.

Ці кроки не вплинули на поставку токенів AUDIO, лише на власну систему стекінгу токенів платформи. Однак це дозволило зловмиснику передати пропозицію щодо керування, яка надіслала весь пул токенів спільноти…майже 18.6 мільйонів токенів AUDIO—до зовнішнього Ethereum кошелек. На момент пограбування токени разом коштували майже 6.1 мільйона доларів.

Відповідно до розкладу подій, опублікованого Audius, команда проекту була попереджена про атаку приблизно через 25 хвилин після передачі маркера. Тоді команда швидко залучила псевдонім білий хакер samczsun венчурної компанії Paradigm—хто має успішно допоміг зірвати минулі спроби використання смарт-контрактів — щоб допомогти у відповідь.

Зрозумівши, що експлойт все ще активний, команда розробила виправлення, які використовували ту саму вразливість, щоб остаточно припинити її використання, і витратила наступні кілька годин на розгортання виправлень, щоб зупинити будь-які подальші атаки. Команда все ще розробляє довгострокові виправлення, а цього тижня обіцяють додаткові оновлення.

У посмертному звіті команда Audius була відвертою щодо потенційних недоліків або недоглядів, які могли сприяти пограбуванню та/або уповільнити його реакцію.

Наприклад, команда не працювала над кодом віртуальної машини Solidity/Ethereum (EVM) майже два роки. «Людям знадобився час, щоб прискорити роботу з усіма цими речами», — написала команда, зазначивши, що надалі «більше відповідатиме останнім сучасним інструментам для розробки/налагодження».

Однак смарт-контракти Audius перевірялися групами безпеки — спочатку OpenZeppelin у серпні 2020 року, а подальші доповнення до контракту були перевірені Кудельським у жовтні 2021 року. Незважаючи на це, ця вразливість залишалася відкритою протягом майже двох років з моменту перших контрактів. розгорнуто в жовтні 2020 року.

«Аудити не є куленепробивними», — написала команда, зазначивши, що час, проведений за контрактом у дикій природі без проблем, «може допомогти зміцнити довіру, але не виключає можливості для експлуатації».

Хоча сумарна вартість жетонів перевищувала 6 мільйонів доларів, зловмисник обміняв їх на значно меншу вартість Ethereum, можливо, поспішаючи відмити кошти. Токени були обміняні на трохи більше 704 Wrapped Ethereum (WETH) — приблизно на 1.07 мільйона доларів —в суботу ввечері через Відключення, провідний децентралізований обмін.

Після цього зловмисник відправив майже весь ETH Торнадо Кеш, сервіс змішування, який об’єднує монети з кількох транзакцій, щоб ускладнити відстеження шляху криптокоштів у блокчейні.