Một đề xuất quản trị độc hại (Proposal #85) yêu cầu chuyển 18 triệu token AUDIO nội bộ của Audius trị giá 6,1 triệu đô đã được phê duyệt thông qua một đợt khai thác.
Các đề xuất hay proposal trong tiền mã hóa giúp cộng đồng đưa ra quyết định dựa trên đồng thuận. Tuy nhiên, đối với nền tảng âm nhạc phi tập trung Auduis, việc thông qua một đề xuất quản trị độc hại mới đây đã dẫn đến việc đánh mất các token trị giá 6,1 triệu đô, và hacker đã kiếm được 1 triệu đô.
Cụ thể, Proposal #85 yêu cầu chuyển 18 triệu token AUDIO nội bộ của Audius đã được chấp thuận bởi cộng đồng bỏ phiếu. Spreekaway đã chỉ ra cuộc tấn công này lần đầu tiên trên twitter, hacker đã tạo ra đề xuất độc hại trong đó họ “có thể gọi khởi tạo () và tự đặt mình là guardian duy nhất của hợp đồng quản trị.”
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you'd like to help our response team, please reach out.
— Audius 🎧 (@AudiusProject) July 24, 2022
Phát biểu trước báo chí, người đồng sáng lập và Giám đốc điều hành Audius, Roneil Rumburg đã làm rõ rằng cộng đồng đã không thông qua một đề xuất độc hại:
“Đây là một vụ lợi dụng – không phải là một đề xuất được thông qua bất kỳ phương tiện hợp pháp nào – nó chỉ xảy ra khi sử dụng hệ thống quản trị làm đầu vào cho cuộc tấn công.”
Điều tra thêm từ Auduis đã xác nhận việc chuyển trái phép token AUDIO từ kho bạc của công ty. Sau tiết lộ, Auduis đã chủ động tạm dừng tất cả các smart contract Audius và token AUDIO trên blockchain Ethereum để tránh tổn thất thêm. Tuy nhiên, công ty đã tiếp tục chuyển token ngay sau đó, đồng thời nói thêm rằng “Chức năng blockchain còn lại đang bị tạm dừng sau khi kiểm tra kỹ lưỡng/giảm thiểu lỗ hổng bảo mật”.
Nhà điều tra Blockchain Peckshield đã thu hẹp lỗi đối với sự không nhất quán về bố cục lưu trữ của Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Trong khi đề xuất quản trị của hacker rút hết 18 triệu token trị giá gần 6 triệu đô từ kho bạc, nó đã sớm bị bán phá giá và được bán với giá 1,08 triệu đô. Mặc dù việc bán phá giá dẫn đến trượt giá tối đa, các nhà đầu tư đã khuyến nghị mua lại ngay lập tức để ngăn các nhà đầu tư hiện tại bán phá giá và giảm thêm giá sàn của token.
Rumburg xác nhận rằng nguyên nhân gốc rễ của việc khai thác đã được giảm thiểu và không thể khai thác lại. Vì kho bạc cộng đồng được giữ tách biệt với kho quỹ nền tảng nên các quỹ còn lại vẫn an toàn trước bất kỳ hoạt động khai thác nào.
Yuga Labs đã đưa ra cảnh báo thứ hai về một “cuộc tấn công phối hợp” dự kiến trên các tài khoản mạng xã hội của mình.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Vào tháng 6, Gordon Goner, người đồng sáng lập của Yuga Labs, đã đưa ra cảnh báo đầu tiên về một cuộc tấn công có thể xảy ra trên các tài khoản mạng xã hội Twitter. Ngay sau cảnh báo, các quan chức Twitter đã tích cực theo dõi các tài khoản và củng cố bảo mật hiện có của chúng.
