Audius：600万ドルの音楽強盗の検死により、いくつかの重要な音符が明らかになりました

原文(英)Audius：600万ドルの音楽強盗の検死により、いくつかの重要な音符が明らかになりました

2022-07-25 20:30:23

暗号通貨ドメイン内のハッキングは非常に頻繁です。最近、分散型音楽プラットフォームAuduisは、悪意のある攻撃により1,850万のAUDIOトークン（600万ドル）を失ったために苦しみました。

壊れた文字列

7月24日、Audiusコミュニティの財務は、「初期化」機能の繰り返し呼び出しを可能にする契約初期化コードの悪用により、かなりの金額を失いました。それぞれのチームは、ソーシャルメディアプラットフォームでこの開発を共有しました。

みなさん、こんにちは。私たちのチームは、コミュニティの財務からAUDIOトークンが不正に転送されたという報告を認識しています。私たちは積極的に調査を行っており、詳細がわかり次第報告します。

対応チームを支援したい場合は、ご連絡ください。

—Audius🎧（@AudiusProject） 2022年7月24日

さまざまな機関/企業が、前述の攻撃の背後にある詳細な分析のために、事後レポートをリリースするために努力しました。

Certikという名前の暗号およびブロックチェーンセキュリティ分析プラットフォームは、同じことを強調するための簡単な概要をリリースしました。

#CommunityAlert 🚨

The @AudiusProject 合計で約600万ドル相当のAUDIOトークンが悪用され、トークンは705ETHで販売されました。

攻撃者はAudiusガバナンス契約の構成を変更し、18.5MAUDIOを消費する悪意のある提案を提案して実行しました。 pic.twitter.com/djuAO1Jarv

— CertiKアラート（@CertiKAlert） 2022年7月24日

ここで、攻撃者はAudiusガバナンス契約の構成を変更し、18.5mのオーディオを消費する悪意のある提案を提案して実行しました。

T彼は、攻撃者が投票システムを変更し、ネットワークに誤った賭け金の値を設定することを許可しました。

エルゴ、18メートルの悪意のある転送につながるオーディオ Audiusガバナンス契約（「コミュニティ財務」と呼ばれる）がウォレットに保持しているトークン。

その後、攻撃者は提案を行い、それを渡し、すべての財務トークンを自分自身に送信し、その後、それを捨てなさい 1回のトランザクションでユニスワップを使用します。特に、攻撃者は1800万のAUDIOトークンを705 ETH（$ 110万）で販売しました。

600万ドルのようです $ Audio ETHでは100万ドル強でしか取引されていませんでした。 https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv

—MistTrack🕵️（@MistTrack_io） 2022年7月24日

さらに、別の企業であるGo + Securityも、7月24日に簡単な分析を共有して、この攻撃を強調しました。ブログで、同社は完全な攻撃ベクトルを主張する小さなフローチャートを追加しました。

投票パラメータの改ざん->悪意のある提案の送信->投票の重みの改ざん->投票->提案の実行

同社はさらに、前述の不幸な出来事のタイミングのスクリーンショットを含む詳細な分析を追加しました。別のブロックチェーン調査員のPeckshieldは、Audiusのストレージレイアウトの不整合に障害を絞り込みました。

の問題 @AudiusProject プロキシとimplの間で一貫性のないストレージレイアウトにあります。特に、Audius Community Treasury契約の衝突は、イニシャライザ修飾子を無効にすることと同等になります。ここでは、proxyAdmin addr（0x..abac）が役割を果たします。 pic.twitter.com/x4CqRncahp

— PeckShield Inc.（@peckshield） 2022年7月24日