باختصار
- تم اختراق Audius ، وهي منصة موسيقية Web3 ، يوم السبت مقابل أكثر من 6 ملايين دولار من رموز AUDIO المستندة إلى Ethereum.
- قام المهاجم بتبادل الرموز المميزة بأقل من 1.1 مليون دولار من ETH ثم قام بتحويل ETH من خلال خدمة خلط المعاملات.
خدمة تدفق الموسيقى اللامركزية Audius تم اختراق الصوت بأكثر من 6 ملايين دولار رموز خلال عطلة نهاية الأسبوع التي سرقها المهاجم من حكمه عقد الذكية. في تقرير تشريح الجثة تم إصداره في وقت متأخر من يوم الأحد ، وفصل الجهاز الهجوم والرد - وأشار إلى أنه تم استغلال خطأ غير مكتشف على الرغم من عمليات تدقيق الأمن السابقة.
وفقًا للتقرير ، قام المتسلل باستغلال خطأ في رمز تهيئة العقد الذكي الذي يسمح له بالتلاعب في الخدمة إثيريم- عقود الحوكمة والاسناد والتفويض. العقد الذكي هو الكود الذي يعمل على تشغيل التطبيقات اللامركزية (dapps) في Web3، مما يمكّن التطبيقات والألعاب والبروتوكولات من العمل بدون وسطاء مركزيون.
بالنظر إلى هذا النموذج اللامركزي ، يستخدم Audius ERC-20 المستند إلى Ethereum رموز (صوت) لتمكين إدارة المجتمع. ومع ذلك ، تم استغلال هذا النموذج في نهاية المطاف يوم السبت. من خلال الاستغلال ، قام المهاجم بتغيير هيكل تصويت Audius وحاول مرتين تفويض 10 تريليون من رموز AUDIO المميزة إلى محفظة لدفع مقترحات الحوكمة.
تم العثور على المشكلة والإصلاحات جارية لإعادة الأمور إلى حالة مستقرة.
لمنع المزيد من الضرر ، تم إيقاف جميع عقود Audius الذكية على Ethereum ، بما في ذلك الرمز المميز.
لا نعتقد أن أي أموال أخرى معرضة للخطر.
المزيد من التحديثات / بعد الوفاة قريبًا. https://t.co/i3MM9WjjgE
- أوديوس؟ (AudiusProject) 24 تموز، 2022
لم تؤثر هذه التحركات على توفير رموز الصوت ، فقط على نظام تخزين الرموز الخاص بالمنصة. ومع ذلك ، فقد سمح للمهاجم بتمرير اقتراح إدارة أرسل مجموعة رموز المجتمع بالكامل -ما يقرب من 18.6 مليون توكن صوتي—إيثريوم خارجي محفظة. كانت قيمة الرموز مجتمعة ما يقرب من 6.1 مليون دولار في وقت السرقة.
وفقًا لجدول زمني للأحداث التي تمت مشاركتها بواسطة Audius ، تم تنبيه فريق المشروع للهجوم بعد حوالي 25 دقيقة من نقل الرمز المميز. ثم قام الفريق بسرعة بإحضار اسم مستعار samczsun القراصنة الأبيض القبعة من شركة VC Paradigm - من لديه ساعد بنجاح في إحباط محاولات استغلال العقد الذكي السابقة - للمساعدة في الاستجابة.
عند إدراك أن الاستغلال كان لا يزال نشطًا ، طور الفريق إصلاحات استغلت نفس الثغرة لوقف استخدامها في النهاية ، وقضى الساعات العديدة التالية في نشر التصحيحات لوقف أي هجمات أخرى. لا يزال الفريق يطور إصلاحات طويلة المدى ، مع وعد بإجراء مزيد من التحديثات هذا الأسبوع.
في تقرير تشريح الجثة ، كان فريق Audius صريحًا بشأن أوجه القصور المحتملة أو عمليات المراقبة التي كان من الممكن أن تكون قد مكنت من السرقة و / أو إبطاء استجابتها.
على سبيل المثال ، لم يعمل الفريق بنشاط على كود Solidity / Ethereum Virtual Machine (EVM) منذ ما يقرب من عامين. كتب الفريق "لقد استغرق الأمر وقتًا طويلاً للرجوع إلى السرعة في كل الأشياء هنا" ، مشيرًا إلى أنه سيظل "أكثر انسجامًا مع أحدث تقنيات التطوير / تصحيح الأخطاء" للمضي قدمًا.
ومع ذلك ، تم تدقيق عقود Audius الذكية من قبل مجموعات الأمان - أولاً بواسطة OpenZeppelin في أغسطس 2020 ، مع تدقيق إضافات أخرى للعقود بواسطة Kudelski في أكتوبر 2021. ومع ذلك ، ظلت هذه الثغرة الأمنية مفتوحة للجمهور لما يقرب من عامين منذ أن كانت العقود الأولى تم نشره في أكتوبر 2020.
كتب الفريق: "عمليات التدقيق ليست مقاومة للرصاص" ، مشيرًا إلى أن الوقت الذي يقضيه العقد في البرية دون مشاكل "يمكن أن يساعد في بناء الثقة ، لكنه لا يستبعد فرص الاستغلال".
بينما تم تقييم الرموز بشكل جماعي بأكثر من 6 ملايين دولار ، قام المهاجم بتبادلها مقابل قيمة أقل بكثير من Ethereum ، ربما في عجلة من أمره لغسل الأموال. تم تداول الرموز مقابل ما يزيد قليلاً عن 704 عملة Ethereum مغلفة (WETH) - بقيمة 1.07 مليون دولار تقريبًا -مساء يوم السبت بواسطة Uniswap، الرائدة التبادل اللامركزي.
بعد ذلك ، أرسل المهاجم كل ETH تقريبًا تورنادو كاش، خدمة خلط تجمع بين العملات المعدنية من معاملات متعددة لتجعل من الصعب تتبع مسار الأموال المشفرة على blockchain.
ابق على اطلاع بأخبار العملات المشفرة ، واحصل على تحديثات يومية في صندوق الوارد الخاص بك.
المصدر: https://decrypt.co/105913/how-audius-was-hacked-6m-ethereum-tokens