Cómo los atacantes robaron tokens por valor de aproximadamente 1,1 millones de dólares del proyecto musical descentralizado Audius

Aproximadamente 1,1 millones de dólares en tokens AUDIO de Audius fueron robados durante el fin de semana en un sofisticado ataque que involucró los foros de gobernanza del proyecto.

Audius, un proyecto de streaming de música tokenizado, se basa en la votación y la gobernanza de la comunidad para tomar decisiones. El sábado, una propuesta maliciosa provocó que atacantes publicaran una publicación falsa y manipularan los votos tokenizados para robar fondos.

Los atacantes inicialmente lanzaron la "Propuesta n.° 84", que delegaba 10 billones de AUDIO internamente al contrato de staking (sin cambios en el suministro de tokens). La transacción falló porque no se emitieron votos sobre la propuesta.

Los atacantes lanzaron entonces la "Propuesta n.º 85", que solicitaba la transferencia de 18 millones de tokens AUDIO en una votación de gobernanza. Posteriormente, los atacantes pudieron "invocar initialize() y establecerse como el único guardián" de dicho contrato de gobernanza, explicaron los desarrolladores de Audius en un informe posterior el lunes.

La función initialize() proporciona a un programa su punto de datos inicial en un contrato inteligente. Esto permitió al atacante controlar únicamente la propuesta de gobernanza y transferir tokens a medida que esta se aprobaba.

Tras la presentación de la Propuesta n.° 85, se ejecutó una transacción que delegó 10 billones de AUDIO a los votos, sesgando así la propuesta a favor del atacante. El suministro circulante no se vio afectado, pero la propuesta se aprobó porque los votos erróneos lograron engañar a los contactos inteligentes de Audius. Esto permitió a los atacantes transferir maliciosamente 18 millones de tokens AUDIO pertenecientes al contrato de gobernanza de Audius , conocido como la "tesorería de la comunidad", a una billetera bajo su control.

Los tokens robados luego fueron intercambiados por más de 700 ethers (ETH), con un valor de alrededor de $ 1,08 millones al momento de escribir este artículo, en el servicio de intercambio de Privacidad Tornado Cash, según muestran los datos de la cadena de bloques de la billetera del atacante: 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.

Mientras tanto, los desarrolladores de Audius informaron que un error permitió al atacante pasar la función initialize(). "Los contratos de gobernanza, staking y delegación de Audius en la red principal de Ethereum ", explicaron los desarrolladores en el análisis posterior.

“[Estos] se vieron comprometidos debido a un error en el código de inicialización del contrato que permitía invocaciones repetidas de las funciones de inicialización”, agregaron.

El conjunto de contratos explotados fue auditado previamente por el equipo de OpenZeppelin, pero la vulnerabilidad no se detectó en ese momento, según informaron los desarrolladores de Audius . Todos los fondos restantes están seguros y las correcciones se implementaron el lunes.