„Auditurile nu sunt antiglonț”: cum a fost piratat Audius pentru 6 milioane de dolari în jetoane Ethereum

Serviciu de muzică streaming descentralizat audius a fost piratat pentru AUDIO în valoare de peste 6 milioane de dolari jetoane în weekend, pe care atacatorul l-a furat de la guvernare contract inteligent. într-un raport post mortem lansat duminică seara, serviciul a detaliat atacul și răspunsul – și a remarcat că o eroare nedescoperită a fost exploatată în ciuda auditurilor de securitate anterioare.

Potrivit raportului, hackerul a accesat o eroare în codul de inițializare a contractului inteligent care i-a permis să manipuleze serviciul. Ethereum- contracte bazate pe guvernanță, miza și delegare. Un contract inteligent este codul care alimentează aplicațiile descentralizate (dapps) în Web3, permițând aplicațiilor, jocurilor și protocoalelor să funcționeze fără intermediari centralizați.

Având în vedere acest model descentralizat, Audius utilizează ERC-20 bazat pe Ethereum jetoane (AUDIO) pentru a permite guvernarea comunității. Cu toate acestea, acest model a fost exploatat în cele din urmă sâmbătă. Prin exploit, atacatorul a modificat structura de vot Audius și a încercat de două ori să delege 10 trilioane de jetoane AUDIO portofel pentru a promova propunerile de guvernare.

Aceste mișcări nu au afectat furnizarea de jetoane AUDIO, ci doar sistemul propriu de miză de jetoane al platformei. Cu toate acestea, i-a permis atacatorului să treacă o propunere de guvernare care a trimis întregul pool de jetoane comunitare -aproape 18.6 milioane de jetoane AUDIO— către un Ethereum extern portofel. La momentul furtului, jetoanele aveau o valoare colectivă de aproape 6.1 milioane de dolari.

Conform unei cronologie a evenimentelor împărtășite de Audius, echipa de proiect a fost alertată cu privire la atac la aproximativ 25 de minute după transferul tokenului. Apoi echipa a adus rapid pseudonimul hacker de pălărie albă samczsun a firmei VC Paradigm—care are a ajutat cu succes la dejucare încercări anterioare de exploatare a contractelor inteligente — pentru a ajuta la răspuns.

După ce și-a dat seama că exploit-ul era încă activ, echipa a dezvoltat remedieri care au folosit aceeași vulnerabilitate pentru a opri în cele din urmă utilizarea acesteia și a petrecut următoarele câteva ore implementând patch-uri pentru a opri orice alt atac. Echipa încă dezvoltă remedieri pe termen mai lung, cu actualizări suplimentare promise în această săptămână.

În raportul post-mortem, echipa Audius a fost sinceră cu privire la potențialele neajunsuri sau neglijențe care ar fi putut permite furtul și/sau încetinirea răspunsului acestuia.

De exemplu, echipa nu a lucrat activ la codul său Solidity/Ethereum Virtual Machine (EVM) de aproape doi ani. „Oamenii le-a luat timp pentru a reveni la curent cu toate lucrurile de aici”, a scris echipa, menționând că va rămâne „mai în acord cu cele mai recente instrumente de dezvoltare/depanare” de acum înainte.

Cu toate acestea, contractele inteligente Audius au fost auditate de grupuri de securitate – mai întâi de către OpenZeppelin în august 2020, cu alte adăugări de contracte auditate de Kudelski în octombrie 2021. Chiar și așa, această vulnerabilitate a rămas deschisă în public timp de aproape doi ani de când contractele au fost primele. desfășurat în octombrie 2020.

„Auditurile nu sunt rezistente la glonț”, a scris echipa, remarcând că timpul petrecut în sălbăticie fără probleme al unui contract „poate ajuta la construirea încrederii, dar nu exclude oportunitățile de exploatare”.

În timp ce jetoanele au fost evaluate colectiv peste 6 milioane de dolari, atacatorul le-a tranzacționat cu o valoare mult mai mică a Ethereum, probabil în graba de a spăla fondurile. Jetoanele au fost tranzacționate cu puțin peste 704 Wrapped Ethereum (WETH) — în valoare de aproximativ 1.07 milioane de dolari —sâmbătă seara de uniswap, liderul descentralizat.

Ulterior, atacatorul a trimis aproape toată ETH TornadoCash, un serviciu de amestecare care combină monede din mai multe tranzacții pentru a face mai dificilă urmărirea traseului fondurilor cripto pe un blockchain.