Как злоумышленники украли токены на сумму около 1,1 млн долларов у децентрализованного музыкального проекта Audius

За выходные в результате сложной атаки, в которой были задействованы форумы управления проектом, были украдены токены Audius AUDIO на сумму около 1,1 миллиона долларов.

Audius, токенизированный музыкальный потоковый проект, полагается на голосование сообщества и управление для принятия решений. В субботу вредоносное предложение заставило злоумышленников разместить фейковый пост и манипулировать токенизированными голосами, чтобы украсть средства.

Первоначально злоумышленники выдвинули «Предложение № 84», которое делегировало 10 триллионов AUDIO внутри контракта на стейкинг (без изменения предложения токенов). Эта транзакция не удалась, поскольку по предложению не было подано ни одного голоса.

Затем злоумышленники выдвинули «Предложение № 85», в котором запрашивалась передача 18 миллионов токенов AUDIO в голосовании по управлению. Затем злоумышленники «смогли вызвать initialize() и назначить себя единственным хранителем» этого контракта по управлению, объяснили разработчики Audius в отчете о вскрытии в понедельник.

Функция initialize() дает программе ее начальную точку данных в смарт-контракте. Это позволило злоумышленнику контролировать предложение по управлению единолично и передавать токены по мере передачи предложения.

После того, как было выдвинуто предложение № 85, была выполнена транзакция, которая делегировала 10 триллионов AUDIO в качестве голосов, тем самым перекосив предложение в пользу злоумышленника. Оборотное предложение не было затронуто, но предложение было принято, поскольку ошибочные голоса смогли обмануть смарт-контакты Audius. Это позволило злоумышленникам злонамеренно перевести 18 миллионов токенов AUDIO , удерживаемых контрактом управления Audius , называемым «сообществом казначейства, в кошелек под их контролем».

Затем украденные токены были обменены на более чем 700 эфиров (ETH), что на момент написания статьи составило около 1,08 миллиона долларов, на сервисе обмена Политика конфиденциальности Tornado Cash, как показывают данные блокчейна кошелька злоумышленника – 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.

Тем временем разработчики Audius заявили, что ошибка позволила злоумышленнику передать функцию initialize(). «Контракты Audius по управлению, стейкингу и делегированию в основной сети Ethereum », — пояснили разработчики в отчете о вскрытии.

«[Они] были скомпрометированы из-за ошибки в коде инициализации контракта, которая допускала повторные вызовы функций инициализации», — добавили они.

Набор эксплуатируемых контрактов ранее был проверен командой OpenZeppelin, но уязвимость T была обнаружена в то время, заявили разработчики Audius . Все оставшиеся средства в безопасности, и исправления были развернуты по состоянию на понедельник.