Hacker rút 1,08 triệu đô la từ Audius sau khi chuyển đề xuất độc hại

Các đề xuất trong tiền điện tử giúp cộng đồng đưa ra quyết định dựa trên sự đồng thuận. Tuy nhiên, đối với nền tảng âm nhạc phi tập trung Audius, việc thông qua một đề xuất quản trị độc hại đã dẫn đến việc chuyển các mã thông báo trị giá 6,1 triệu đô la và tin tặc đã kiếm được 1 triệu đô la. 

Vào Chủ nhật, một đề xuất ác ý, Đề xuất #85, yêu cầu việc chuyển 18 triệu mã thông báo AUDIO nội bộ của Audius đã được chấp thuận bởi cuộc bỏ phiếu của cộng đồng. Lần đầu tiên được chỉ ra trên Crypto Twitter bởi spreekaway, kẻ tấn côngtạo đề xuất độc hại trong đó họ “có thể gọi khởi tạo () và tự đặt mình là người giám sát duy nhất của hợp đồng quản trị.”

Xin chào mọi người - nhóm của chúng tôi biết các báo cáo về việc chuyển trái phép mã thông báo AUDIO từ kho bạc cộng đồng. Chúng tôi đang tích cực điều tra và sẽ báo cáo lại ngay khi chúng tôi biết thêm.

Nếu bạn muốn giúp nhóm phản hồi của chúng tôi, vui lòng liên hệ.

- Âm thanh (@AudioProject)Ngày 24 tháng 7 năm 2022

Nói chuyện với Cointelegraph, đồng sáng lập và CEO của Audius, Roneil Rumburg, đã làm rõ rằng cộng đồng đã không thông qua một đề xuất ác ý:

“Đây là một vụ khai thác – không phải là một đề xuất được đề xuất hoặc thông qua bất kỳ phương tiện hợp pháp nào – nó chỉ tình cờ sử dụng hệ thống quản trị làm điểm khởi đầu cho cuộc tấn công.”

Điều tra thêm từ Audius đã xác nhận việc chuyển trái phép mã thông báo AUDIO từ kho bạc của công ty. Sau tiết lộ, Audius đã chủ động tạm dừng tất cả các hợp đồng thông minh Audius và mã thông báo AUDIO trên chuỗi khối Ethereum để tránh tổn thất thêm. Tuy nhiên, công ty đã tiếp tục chuyển mã thông báo ngay sau đó,thêm rằng “Chức năng hợp đồng thông minh còn lại không bị tạm dừng sau khi kiểm tra/giảm thiểu lỗ hổng kỹ lưỡng.”

Nhà điều tra chuỗi khối Peckshield đã thu hẹp lỗi do sự không nhất quán về bố cục lưu trữ của Audius.

Vấn đề của@AudioProject nằm ở cách bố trí lưu trữ không nhất quán giữa proxy và impl của nó. Cụ thể, sự xung đột của hợp đồng Kho bạc Cộng đồng Audius dẫn đến việc vô hiệu hóa công cụ sửa đổi bộ khởi tạo. Addr proxyAdmin (0x..abac) đóng một vai trò ở đây.pic.twitter.com/x4CqRnchp

- PeckShield Inc. (@peckshield)Ngày 24 tháng 7 năm 2022

Trong khi đề xuất quản trị của tin tặc đã rút hết 18 triệu mã thông báo trị giá gần 6 triệu đô la từ kho bạc, nó đã sớm bị bán phá giá và được bán với giá 1,08 triệu đô la. Mặc dù việc bán phá giá dẫn đến trượt giá tối đa, nhưng các nhà đầu tư đã khuyến nghị mua lại ngay lập tức để ngăn các nhà đầu tư hiện tại bán phá giá và tiếp tục hạ thấp giá sàn của mã thông báo. 

Các nhà đầu tư vẫn chưa hiểu rõ về số tiền bị đánh cắp, vì một nhà đầu tư đã hỏi: “Họ đã hack quỹ cộng đồng phải không? Quỹ của nhóm là riêng biệt đúng không?

Rumburg đã xác nhận với Cointelegraph rằng nguyên nhân gốc rễ của việc khai thác đã được giảm nhẹ và không thể khai thác lại. Cho rằng kho bạc của cộng đồng được giữ tách biệt với kho quỹ của nền tảng, số tiền còn lại vẫn an toàn trước mọi hành vi khai thác.

Có liên quan:Yuga Labs cảnh báo về 'nhóm mối đe dọa dai dẳng' nhắm mục tiêu vào những người nắm giữ NFT

Câu lạc bộ du thuyền Bored Ape (BAYC)mã thông báo không thể thay thế (NFT) nhà sáng tạo Yuga Labs đã đưa ra cảnh báo thứ hai về một “cuộc tấn công phối hợp” dự kiến trên các tài khoản mạng xã hội của họ.

Nhóm bảo mật của chúng tôi đã theo dõi một nhóm mối đe dọa dai dẳng nhắm vào cộng đồng NFT. Chúng tôi tin rằng họ có thể sớm thực hiện một cuộc tấn công phối hợp nhắm vào nhiều cộng đồng thông qua các tài khoản mạng xã hội bị xâm phạm. Hãy cảnh giác và giữ an toàn.

- Phòng thí nghiệm Yuga (@yugalabs)Ngày 18 tháng 7 năm 2022

Vào tháng 6, Gordon Goner, đồng sáng lập của Yuga Labs,đưa ra cảnh báo đầu tiên về một cuộc tấn công sắp tới có thể xảy ra đối với các tài khoản mạng xã hội Twitter của mình. Ngay sau cảnh báo, các quan chức Twitter đã tích cực theo dõi các tài khoản và củng cố bảo mật hiện có của họ.