معلومات مفيدة داخل مجال العملة المشفرة متكررة جدًا. في الآونة الأخيرة ، عانت منصة الموسيقى اللامركزية Auduis حيث خسرت 18.5 مليون الصوت الرموز (6 ملايين دولار) بعد هجوم ضار.
سلاسل مكسورة
في 24 يوليو ، خسرت خزانة مجتمع Audius مبلغًا كبيرًا بسبب استغلال في كود تهيئة العقد الذي سمح باستدعاءات متكررة لوظيفة "التهيئة". شارك الفريق المعني هذا التطور على منصة التواصل الاجتماعي.
مرحبًا بالجميع - فريقنا على دراية بتقارير النقل غير المصرح به لرموز الصوت من خزينة المجتمع. نحن نحقق بنشاط وسنقدم تقريرًا بمجرد معرفة المزيد.
إذا كنت ترغب في مساعدة فريق الاستجابة لدينا ، فيرجى التواصل معنا.
- أوديوس؟ (AudiusProject) 24 تموز، 2022
بذلت وكالات / شركات مختلفة جهودًا لنشر تقرير التشريح الخاص بهم لإجراء تحليل عميق وراء الهجوم المذكور.
تم تسمية منصة تحليلية لأمن التشفير و blockchain سيرتيك أصدرت لمحة عامة بسيطة لتسليط الضوء على نفسه.
• تضمين التغريدة تم استغلالها بقيمة إجمالية تبلغ 6 ملايين دولار من رموز AUDIO ، وتم بيع الرموز المميزة مقابل 705 ETH.
قام المهاجم بتعديل تكوينات عقد إدارة Audius ، ثم اقترح ونفذ اقتراحًا ضارًا استنزف 18.5 مليون صوت. pic.twitter.com/djuAO1Jarv
- تنبيه CertiK (CertiKAlert) 24 تموز، 2022
هنا ، قام المهاجم بتعديل تكوينات عقد إدارة Audius ، ثم اقترح ونفذ اقتراحًا ضارًا استنزف 18.5 مليون صوت.
Tسمح لمهاجم بتعديل نظام التصويت وتعيين قيم حصة خاطئة في الشبكة.
Ergo ، مما أدى إلى نقل خبيث بطول 18 مترًا الصوت الرموز المميزة التي يحتفظ بها عقد إدارة Audius (يشار إليها باسم "خزينة المجتمع") في محفظتها.
في وقت لاحق ، كان المهاجمون قادرين على تقديم اقتراح ، وتمريره ، وإرسال جميع رموز الخزانة لأنفسهم ، بعد ذلك تفريغها on Uniswap في صفقة واحدة. والجدير بالذكر أن المهاجم باع 18 مليون توكن صوتي مقابل 705 ETH (1.1 مليون دولار).
يبدو أن 6 ملايين دولار في الصوت تم تداولها فقط مقابل ما يزيد قليلاً عن مليون دولار في ETH. https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv
- MistTrack؟ ️ (MistTrack_io) 24 تموز، 2022
بالإضافة إلى ذلك ، هناك شركة أخرى ، Go + Security أيضًا شاركت تحليل موجز في 24 يوليو لتسليط الضوء على الهجوم المذكور. في مدونة ، أضافت الشركة مخطط انسيابي صغير يؤكد متجه الهجوم الكامل.
العبث بمعايير التصويت -> تقديم عرض خبيث -> العبث بوزن التصويت -> التصويت -> تنفيذ الاقتراح
وأضافت الشركة كذلك تحليلا متعمقا بما في ذلك لقطات من التوقيت المذكور أعلاه للحدث المؤسف. محقق آخر في blockchain بيك شيلد تضييق نطاق الخطأ إلى تناقضات تخطيط تخزين Audius.
قضية تضمين التغريدة يكمن في تخطيط تخزين غير متناسق بين وكيله وضمني. على وجه الخصوص ، ينتج عن تضارب عقد Audius Community Treasury ما يعادل تعطيل مُعدِّل المُهيئ. يلعب عنوان proxyAdmin (0x..abac) دورًا هنا. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (peckshield) 24 تموز، 2022
السيطرة على الضرر؟
قام فريق Audius بتحديث الثغرات الأمنية تم تصحيحها، ولكن لم يتم تنشيط العديد من الميزات مثل تحويل الرمز المميز وعرض الرصيد بسبب مخاوف بشأن المخاطر.
"تم تحقيق ذلك من خلال" ترقية الوكيل لكل عقد إلى الحد الأدنى من BlockingContract الذي لا يحتوي على نفس الخطأ. أدى هذا إلى منع المزيد من الاستدعاءات المتكررة بعد إلغاء تحكم proxyAdmin إلى عنوان محدد مسبقًا يملكه الفريق ".
لكن هل ساعدت الرمز المتأثر؟ حسنًا ، ليس حقًا. شهد الرمز المميز انخفاضًا هائلاً في CoinMarketCap كما هو واضح في الرسم البياني أدناه.
المصدر: سوينماركيتكاب
في وقت كتابة هذا التقرير ، عانى الرمز المميز (AUDIO) من تصحيح جديد بنسبة 2٪ حيث انزلق متجاوزًا علامة 0.33 دولار.
المصدر: https://ambcrypto.com/audius-autopsy-of-6m-music-heist-reveals-some-out-of-key-notes/