恶意提案通过后，黑客从 Audius 损失了 108 万美元

加密提案帮助社区做出基于共识的决策。然而，对于去中心化音乐平台 Audius，恶意治理提案的通过导致价值 610 万美元的代币转移，黑客从中获利 100 万美元。 

周日，一个恶意提案， 提案 #85， 请求 1800 万 Audius 内部 AUDIO 代币的转让通过了社区投票。攻击者 spreekaway 在 Crypto Twitter 上首先指出创建 恶意提议，其中他们“能够调用 initialize() 并将自己设置为治理合约的唯一监护人。”

大家好 - 我们的团队获悉有关未经授权从社区金库转移 AUDIO 代币的报告。我们正在积极调查，并会在了解更多信息后立即报告。

如果您想帮助我们的响应团队，请联系我们。

— 音频 (@AudioProject)2022 年 7 月 24 日

Audius 联合创始人兼首席执行官 Roneil Rumburg 在接受 Cointelegraph 采访时澄清说，社区没有通过恶意提案：

“这是一个漏洞——不是通过任何合法手段提出或通过的提案——它只是碰巧使用治理系统作为攻击的切入点。”

Audius 的进一步调查证实了未经授权从公司库房转移 AUDIO 代币。消息披露后，Audius 主动停止了以太坊区块链上的所有 Audius 智能合约和 AUDIO 代币，以避免进一步的损失。然而，该公司不久后恢复了代币转移，添加 “在彻底检查/缓解漏洞后，剩余的智能合约功能正在取消暂停。”

区块链调查员 Peckshield 将故障缩小到 Audius 的存储布局不一致。

的问题@AudioProject 在于其代理和实现之间的存储布局不一致。特别是，Audius Community Treasury 合约的冲突导致禁用初始化修饰符的等效性。 proxyAdmin 地址 (0x..abac) 在这里发挥作用。pic.twitter.com/x4CqRncahp

— PeckShield Inc. (@peckshield)2022 年 7 月 24 日

虽然黑客的治理提案从国库中抽走了价值近 600 万美元的 1800 万个代币，但很快就被抛售并以 108 万美元的价格出售。虽然抛售导致最大滑点，但投资者建议立即回购，以防止现有投资者抛售并进一步降低代币的底价。

正如一位投资者所问的那样，投资者尚未弄清被盗资金的情况，“他们入侵了社区基金，对吗？战队的资金是分开的吧？”

Rumburg 向 Cointelegraph 证实，漏洞利用的根本原因已得到缓解，无法重新利用。鉴于 社区金库与基金会金库分开，剩余的资金仍然安全，不会受到任何利用。

有关的：Yuga Labs 警告针对 NFT 持有者的“持续威胁组织”

无聊猿游艇俱乐部 (BAYC)不可替代代币 (NFT) 创作者 Yuga Labs 发布了第二次警告，称其社交媒体账户可能会受到“协同攻击”。

我们的安全团队一直在追踪一个以 NFT 社区为目标的持续威胁组织。我们相信他们可能很快就会通过受损的社交媒体账户发起针对多个社区的协同攻击。请提高警惕并保持安全。

— Yuga 实验室 (@yugalabs)2022 年 7 月 18 日

6 月，Yuga Labs 的匿名联合创始人 Gordon Goner，发出第一个警告 其 Twitter 社交媒体帐户可能受到的攻击。警告发出后不久，推特官方积极监控账户并加强现有安全措施。