Comment des attaquants ont volé environ 1,1 million de dollars de jetons au projet de musique décentralisé Audius

Environ 1,1 million de dollars de jetons AUDIO d' Audius ont été volés au cours du week-end lors d'une attaque sophistiquée impliquant les forums de gouvernance du projet.

Audius, un projet de streaming musical tokenisé, s'appuie sur le vote et la gouvernance communautaires pour prendre ses décisions. Samedi, une proposition malveillante a vu des attaquants publier une fausse publication et manipuler les votes tokenisés pour voler des fonds.

Les attaquants ont initialement lancé la « Proposition n° 84 », qui déléguait 10 000 milliards AUDIO en interne au contrat de jalonnement (sans modification de l'offre de jetons). Cette transaction a échoué, car aucun vote n'a été exprimé sur la proposition.

Les attaquants ont ensuite lancé la « Proposition n° 85 », qui demandait le transfert de 18 millions de jetons AUDIO lors d'un vote de gouvernance. Les attaquants ont ensuite pu « appeler initialize() et se positionner comme seul gardien » de ce contrat de gouvernance, ont expliqué les développeurs Audius dans un rapport d'analyse publié lundi.

La fonction initialize() fournit à un programme son point de données initial dans un contrat intelligent. Cela permettait à l'attaquant de contrôler seul la proposition de gouvernance et de transférer des jetons au fur et à mesure de son adoption.

Après la présentation de la proposition n° 85, une transaction a été exécutée, déléguant 10 000 milliards de AUDIO aux votes, faussant ainsi la proposition en faveur de l'attaquant. L'offre en circulation n'a pas été affectée, mais la proposition a été adoptée, les votes erronés ayant permis de tromper les contacts intelligents d' Audius. Cela a permis aux attaquants de transférer de manière malveillante 18 millions de jetons AUDIO détenus par le contrat de gouvernance Audius , appelé « trésorerie communautaire », vers un portefeuille sous leur contrôle.

Les jetons volés ont ensuite été échangés contre plus de 700 ethers (ETH), d'une valeur d'environ 1,08 million de dollars au moment de la rédaction, sur le service d'échange de Politique de confidentialité Tornado Cash, comme le montrent les données blockchain du portefeuille de l'attaquant –0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.

Entre-temps, les développeurs Audius ont déclaré qu'un bug permettait à l'attaquant de transmettre la fonction initialize(). « Les contrats de gouvernance, de jalonnement et de délégation Audius sur le réseau principal Ethereum », ont expliqué les développeurs dans l'analyse post-mortem.

« [Ces] éléments ont été compromis en raison d’un bug dans le code d’initialisation du contrat qui permettait des invocations répétées des fonctions d’initialisation », ont-ils ajouté.

L'ensemble des contrats exploités avait été audité par l'équipe d'OpenZeppelin, mais la vulnérabilité n'avait T été détectée à ce moment-là, ont déclaré les développeurs Audius . Tous les fonds restants sont en sécurité et des correctifs ont été déployés lundi.