'Audits sinn net Bulletproof': Wéi Audius fir $ 6M an Ethereum Tokens gehackt gouf

Dezentraliséierter Streaming Musek Service audius gouf gehackt fir méi wéi $ 6 Milliounen AUDIO Wäert Stongen iwwer de Weekend, déi den Ugräifer aus senger Gouvernance geklaut huet intelligenten Kontrakt. An a postmortem Bericht spéit Sonndeg verëffentlecht, huet de Service den Attack an d'Äntwert detailléiert - a bemierkt datt en onentdeckte Feeler trotz vergaangene Sécherheetsaudits exploitéiert gouf.

Laut dem Bericht huet den Hacker e Feeler am Smart Kontrakt Initialiséierungscode getippt, deen et de Service manipuléiere léisst Ethereum-baséiert Gouvernance, Staking, an Delegatioun Kontrakter. E Smart Kontrakt ass de Code deen dezentraliséierter Applikatiounen (dapps) Web3, erlaabt Apps, Spiller a Protokoller ze bedreiwen ouni zentraliséiert Intermédiairen.

Mat deem dezentraliséierte Modell benotzt Audius Ethereum-baséiert ERC-20 Stongen (AUDIO) fir Gemeinschaftsgouvernance z'erméiglechen. Allerdéngs gouf dëse Modell um Samschdeg schlussendlech exploitéiert. Duerch den Ausbeutung huet den Ugräifer d'Audius Wahlstruktur geännert an zweemol versicht 10 Billioun AUDIO Tokens un hir ze delegéieren. Portemonnaie späicheren Gouvernancevirschléi duerchzedrécken.

Dës Beweegunge beaflossen net d'Versuergung vun AUDIO Tokens, nëmmen den eegene Token Staking System vun der Plattform. Wéi och ëmmer, et huet den Ugräifer erlaabt eng Gouvernance Propositioun ze passéieren déi d'ganz Gemeinschaft Token Pool geschéckt huet -bal 18.6 Milliounen AUDIO Stongen- zu engem externen Ethereum Portemonnaie späicheren. D'Tokens ware kollektiv bal $ 6.1 Milliounen am Wäert vun der Heist.

Laut enger Timeline vun Eventer, déi vum Audius gedeelt goufen, gouf d'Projetteam op d'Attack iwwer 25 Minutte no der Tokentransfer alarméiert. D'Equipe huet dann séier Pseudonym bruecht wäiss Hut Hacker Samczsun vun VC Firma Paradigm-deen huet erfollegräich gehollef ze verhënneren Vergaangenheet Smart Kontrakt Ausbeutung Versich - fir an der Äntwert ze hëllefen.

Beim Erkenntnis datt den Ausbeutung nach ëmmer aktiv war, huet d'Team Fixes entwéckelt, déi déiselwecht Schwachstelle geklappt hunn fir hir Notzung schlussendlech ze stoppen, an déi nächst e puer Stonne fir Patches z'installéieren fir weider Attacken ze stoppen. D'Team entwéckelt nach ëmmer méi laangfristeg Fixer, mat weideren Updates dës Woch versprach.

Am Postmortem-Rapport war d'Audius-Team frank iwwer potenziell Mängel oder Iwwersiicht, déi den Heist aktivéiert hätten an / oder seng Äntwert verlangsamt hunn.

Zum Beispill huet d'Team net aktiv un hirem Solidity / Ethereum Virtual Machine (EVM) Code a bal zwee Joer geschafft. "Et huet d'Leit Zäit gedauert fir op all d'Saachen hei zréckzekommen," huet d'Team geschriwwen, bemierkt datt et "méi am Aklang mat der leschter Staat vun der Konscht vum Dev / Debugging Tooling" amgaang bleift.

Wéi och ëmmer, d'Audius Smart Kontrakter goufe vu Sécherheetsgruppen iwwerpréift - fir d'éischt vum OpenZeppelin am August 2020, mat weidere Kontraktergänzunge gepréift vum Kudelski am Oktober 2021. Trotzdem ass dës Schwachstelle bal zwee Joer an der Ëffentlechkeet opgemaach zënter datt d'Kontrakter fir d'éischt waren. am Oktober 2020 ofgesat.

"Audits sinn net bulletproof", huet d'Team geschriwwen, a bemierkt datt d'Zäit vun engem Kontrakt an der Wëld ouni Probleemer verbruecht gëtt "hëllefe Vertrauen opzebauen, awer d'Méiglechkeete fir d'Ausbeutung auszeschléissen."

Wärend d'Tokens kollektiv iwwer $ 6 Millioune geschätzt goufen, huet den Ugräifer se fir e vill méi niddrege Wäert vun Ethereum gehandelt, vläicht an der Heafung fir d'Fongen ze wäschen. D'Tokens goufen fir just iwwer 704 Wrapped Ethereum (WETH) gehandelt - ongeféier $ 1.07 Millioune Wäert -um Samschdeg Nuecht via uniswap, de féierende dezentraliséiert Austausch.

Duerno huet den Ugräifer bal all d'ETH duerch geschéckt TornadoCash, e Mëschungsservice deen Mënzen aus multiple Transaktiounen kombinéiert fir et méi schwéier ze maachen de Wee vu Krypto-Fongen op engem Blockchain ze verfolgen.