Пропозиції в криптовалюті допомагають спільнотам приймати рішення на основі консенсусу. Однак для децентралізованої музичної платформи Auduis прийняття зловмисної пропозиції щодо управління призвело до передачі токенів на суму 5.9 мільйона доларів, причому хакер отримав 1 мільйон доларів.
24 липня зловмисна пропозиція (Пропозиція №85) запит на передачу 18 мільйонів внутрішніх токенів Audius AUDIO було схвалено голосуванням спільноти. Вперше на це звернув увагу зловмисник @spreekaway у Crypto Twitter створений зловмисну пропозицію, згідно з якою вони «змогли викликати initialize() і встановити себе єдиним охоронцем контракту про управління».
Привіт усім! Нашій команді відомо про повідомлення про несанкціоновану передачу токенів AUDIO зі скарбниці спільноти. Ми проводимо активне розслідування та повідомимо, щойно дізнаємося більше.
Якщо ви хочете допомогти нашій групі реагування, зв’яжіться.
— Audius (@AudiusProject) Липень 24, 2022
Подальше розслідування Auduis підтвердило несанкціоновану передачу токенів AUDIO зі скарбниці компанії. Після викриття Auduis завчасно зупинив усі смарт-контракти Audius і токени AUDIO в блокчейні Ethereum.
Дослідник блокчейну Пекшилд звузив коло помилок до невідповідності розташування сховища Audius.
питання про @AudiusProject полягає в неузгодженому схемі зберігання між його проксі та impl. Зокрема, колізія контракту Audius Community Treasury призводить до еквівалентності вимкнення модифікатора ініціалізації. Адреса проксіадміністратора (0x..abac) відіграє тут певну роль. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) Липень 24, 2022
Незважаючи на те, що пропозиція хакера про управління вичерпала зі скарбниці 18 мільйонів токенів на суму майже 6 мільйонів доларів, невдовзі її було скинуто та продано за 1.08 мільйона доларів. Хоча демпінг призвів до максимального прослизання, інвестори рекомендували негайний викуп, щоб запобігти демпінгу існуючим інвесторам і подальшому зниженню мінімальної ціни токена.
Інвестори ще не отримали ясності щодо вкрадених коштів, оскільки один інвестор запитав: «Вони зламали громадський фонд, чи не так? Фонд команди окремий, правильно?»
Поки триває розслідування, Audius поки не відповіла на запит Cointelegraph про коментарі.
За темою: Yuga Labs попереджає про «постійну групу загроз», націлену на власників NFT
Творець яхт-клубу Bored Ape Yacht Club (BAYC) Yuga Labs оприлюднив друге попередження про очікувану «скоординовану атаку» на свої акаунти в соціальних мережах.
Наша команда безпеки відстежує постійну групу загроз, яка націлена на спільноту NFT. Ми вважаємо, що незабаром вони можуть розпочати скоординовану атаку, спрямовану на численні спільноти через скомпрометовані облікові записи соціальних мереж. Будь ласка, будьте пильні та залишайтеся в безпеці.
— Yuga Labs (@yugalabs) Липень 18, 2022
У червні Гордон Гонер, співзасновник Yuga Labs під псевдонімом, виніс перше попередження можливої вхідної атаки на його акаунти в соціальних мережах Twitter. Невдовзі після попередження офіційні особи Twitter активно відслідковували облікові записи та посилили існуючу безпеку.
Джерело: https://cointelegraph.com/news/hacker-drains-1-08m-from-audius-following-passing-of-malicious-proposal