«Аудит не является пуленепробиваемым»: как Audius был взломан на 6 миллионов долларов в токенах Ethereum

Децентрализованный потоковый музыкальный сервис Audius был взломан на сумму более 6 миллионов долларов АУДИО лексемы за выходные, которые злоумышленник украл из своего управления умный контракт. В вскрытие выпущенный поздно вечером в воскресенье, служба подробно описала атаку и реакцию, а также отметила, что необнаруженная ошибка была использована, несмотря на прошлые аудиты безопасности.

Согласно отчету, хакер обнаружил ошибку в коде инициализации смарт-контракта, которая позволяла ему манипулировать сервисом. ЭфириумКонтракты на основе управления, ставок и делегирования. Смарт-контракт — это код, который обеспечивает работу децентрализованных приложений (dapps) в Web3, позволяя приложениям, играм и протоколам работать без централизованных посредников.

Учитывая эту децентрализованную модель, Audius использует ERC-20 на основе Ethereum. лексемы (АУДИО), чтобы обеспечить управление сообществом. Однако в конечном итоге эта модель была использована в субботу. С помощью эксплойта злоумышленник изменил структуру голосования Audius и дважды пытался делегировать 10 триллионов токенов AUDIO своим бумажник продвигать предложения по управлению.

Эти шаги не повлияли на предложение токенов AUDIO, а только на собственную систему размещения токенов платформы. Тем не менее, это позволило злоумышленнику передать предложение по управлению, которое отправило весь пул токенов сообщества —почти 18.6 млн токенов AUDIO— во внешний Эфириум бумажник. На момент ограбления жетоны в совокупности стоили почти 6.1 миллиона долларов.

Согласно графику событий, предоставленному Audius, команда проекта была предупреждена об атаке примерно через 25 минут после передачи токена. Затем команда быстро привлекла псевдоним хакер в белой шляпе венчурной компании Paradigm, которая успешно помог предотвратить прошлые попытки использования смарт-контрактов — чтобы помочь в ответе.

Поняв, что эксплойт все еще активен, команда разработала исправления, которые задействовали ту же уязвимость, чтобы в конечном итоге остановить ее использование, и потратили следующие несколько часов на развертывание исправлений, чтобы остановить любые дальнейшие атаки. Команда все еще разрабатывает долгосрочные исправления, и на этой неделе обещаны дальнейшие обновления.

В отчете о вскрытии команда Audius откровенно рассказала о потенциальных недостатках или недосмотрах, которые могли способствовать совершению ограбления и/или замедлить его реакцию.

Например, команда не работала активно над кодом Solidity/Ethereum Virtual Machine (EVM) почти два года. «Людям потребовалось время, чтобы вернуться к работе со всеми вещами здесь», — написала команда, отметив, что в будущем она будет «лучше соответствовать последнему уровню искусства инструментов разработки / отладки».

Тем не менее, смарт-контракты Audius были проверены группами безопасности — сначала OpenZeppelin в августе 2020 года, а в октябре 2021 года аудит дополнительных дополнений к контрактам был проверен Кудельски. развернут в октябре 2020 года.

«Аудит не является пуленепробиваемым», — написала команда, отметив, что время, проведенное в дикой природе без проблем, «может помочь укрепить доверие, но не исключает возможностей для эксплуатации».

В то время как совокупная стоимость токенов превышала 6 миллионов долларов, злоумышленник обменял их на гораздо более низкую стоимость Ethereum, возможно, в спешке для отмывания средств. Токены были проданы чуть более чем за 704 Wrapped Ethereum (WETH) на сумму около 1.07 миллиона долларов.в субботу вечером с помощью Uniswapведущий децентрализованный обмен.

После этого злоумышленник отправил почти весь ETH через Торнадо Кэш, служба микширования, которая объединяет монеты из нескольких транзакций, чтобы затруднить отслеживание пути криптовалютных средств в блокчейне.