„Audity nie sú nepriestrelné“: Ako bol Audius hacknutý za 6 miliónov dolárov v tokenoch Ethereum

Decentralizovaná streamovacia hudobná služba audius bol hacknutý za viac ako 6 miliónov dolárov v hodnote AUDIO tokeny cez víkend, ktorú útočník ukradol jej vláde inteligentná zmluva. V roku posmrtná správa Služba bola vydaná neskoro v nedeľu a podrobne opísala útok a reakciu – a poznamenala, že napriek minulým bezpečnostným auditom bola zneužitá neobjavená chyba.

Podľa správy hacker narazil na chybu v inicializačnom kóde inteligentnej zmluvy, ktorá mu umožnila manipulovať s Ethereumzmluvy o riadení, stakingu a delegovaní. Inteligentná zmluva je kód, ktorý poháňa decentralizované aplikácie (dapps) v Web3, ktorá umožňuje aplikáciám, hrám a protokolom fungovať bez centralizovaných sprostredkovateľov.

Vzhľadom na tento decentralizovaný model používa Audius ERC-20 na báze Etherea tokeny (AUDIO), aby sa umožnilo riadenie komunity. Tento model bol však v sobotu nakoniec využitý. Prostredníctvom exploitu útočník zmenil hlasovaciu štruktúru Audius a dvakrát sa pokúsil delegovať 10 biliónov AUDIO tokenov na ich peňaženka presadiť návrhy riadenia.

Tieto pohyby neovplyvnili prísun AUDIO tokenov, iba vlastný systém stávkovania tokenov platformy. Útočníkovi to však umožnilo schváliť návrh riadenia, ktorý poslal celý súbor tokenov komunity –takmer 18.6 milióna AUDIO tokenov— do externého Etherea peňaženka. Tokeny mali v čase lúpeže súhrnnú hodnotu takmer 6.1 milióna dolárov.

Podľa časovej osi udalostí zdieľaných spoločnosťou Audius bol projektový tím upozornený na útok približne 25 minút po prenose tokenu. Tím potom rýchlo získal pseudonym biely klobúk hacker samczsun spoločnosti Paradigm rizikového kapitálu – kto má úspešne pomohol prekaziť minulé pokusy o zneužitie inteligentných zmlúv – pomôcť pri reakcii.

Keď si tím uvedomil, že exploit je stále aktívny, vyvinul opravy, ktoré využili rovnakú zraniteľnosť, aby nakoniec zastavili jeho používanie, a niekoľko nasledujúcich hodín strávil nasadzovaním opráv na zastavenie akýchkoľvek ďalších útokov. Tím stále vyvíja dlhodobejšie opravy, pričom ďalšie aktualizácie sú sľúbené tento týždeň.

V posmrtnej správe bol tím Audius úprimný o možných nedostatkoch alebo prehliadnutiach, ktoré mohli umožniť lúpež a/alebo spomaliť jej reakciu.

Napríklad tím aktívne nepracoval na kóde virtuálneho stroja Solidity/Ethereum (EVM) už takmer dva roky. „Ľuďom trvalo, kým sa dostali späť do tempa vo všetkých veciach,“ napísal tím a poznamenal, že v budúcnosti zostane „viac v súlade s najnovším stavom nástrojov na vývoj/ladenie“.

Inteligentné zmluvy Audius však boli auditované bezpečnostnými skupinami – najprv OpenZeppelin v auguste 2020, pričom ďalšie dodatky k zmluve skontroloval Kudelski v októbri 2021. Napriek tomu táto zraniteľnosť zostala na verejnosti otvorená takmer dva roky od prvých zmlúv. nasadený v októbri 2020.

"Audit nie je nepriestrelný," napísal tím a poznamenal, že čas zmluvy strávený v divočine bez problémov "môže pomôcť vybudovať dôveru, ale nevylučuje príležitosti na využitie."

Zatiaľ čo tokeny boli kolektívne ocenené nad 6 miliónov dolárov, útočník ich vymenil za oveľa nižšiu hodnotu Ethereum, možno v zhone s praním finančných prostriedkov. Tokeny boli zobchodované za niečo vyše 704 Wrapped Ethereum (WETH) – približne 1.07 milióna dolárov –v sobotu večer via Zrušiť výmenu, vedúci decentralizovanej výmeny.

Potom útočník poslal takmer celé ETH Tornado Hotovosť, miešacia služba, ktorá kombinuje mince z viacerých transakcií, aby bolo ťažšie sledovať cestu kryptofondov na blockchaine.