28/07/22
Децентрализованная музыкальная платформа Audius была взломана на прошлой неделе, злоумышленник украл более 18 млн. токенов AUDIO на сумму около $6 млн. Audius — это децентрализованная стриминговая платформа в блокчейне Ethereum, где артисты могут зарабатывать токены AUDIO, делясь своей музыкой, а пользователи могут зарабатывать токены, курируя и прослушивая контент.
После инцидента платформа отреагировала в течение нескольких минут, заморозив несколько сервисов до момента исправления и предотвращения дальнейшей кражи токенов, пишут в Securitylab.
Согласно отчету Audius , хакер воспользовался ошибкой в code contracts (контракт кода), которая позволяла выполнять повторные вызовы функций инициализации предусловий. Это позволило злоумышленнику перевести 18,5 млн. токенов AUDIO из «казначейства сообщества» на свой кошелек, изменив динамику управления платформой.
Затем киберпреступник попытался выполнить 4 предложения по управлению, 3 из которых провалились, а одна была принята. Это позволило перевести весь пул сообщества Audius в кошелек злоумышленника.
По словам Audius, новые токены не «чеканились», и инцидент не повлиял на обращение токена. Все оставшиеся пользовательские средства теперь в безопасности в соответствии с платформой. К 25 июля токен AUDIO снова функционировал, но системы смарт-контрактов «Staking» и «Delegate Manager» не возобновили работу, поскольку исправления все еще не установлены.
Хакер обменял свои токены на Uniswap всего за $1,07 млн., потеряв 5/6 их стоимости, а затем пропустил их через криптовалютный миксер Tornado Cash, чтобы скрыть след украденных средств.
Контрактная система Audius прошла две углубленные оценки безопасности в 2020 и 2021 году двумя разными аудиторами, но ни один из них не обнаружил использованную уязвимость. Эти контракты были развернуты в октябре 2020 года, и с тех пор эта уязвимость существует в дикой природе.
