TL: DR
- Un attaquant a volé des jetons AUDIO d'une valeur de plus de 6 millions de dollars à Audius, une plateforme musicale Web3.
- L'attaquant a pu retirer plus de 10 trillions de jetons AUDIO de la plateforme et les échanger contre de l'Ethereum. Ils ont ensuite échangé l'ETH contre de l'argent via une plateforme d'échange.
- Selon le PDG d'Audius, la faille utilisée par l'attaquant a été atténuée et ne peut être réexploitée.
Mots-clés : Audius, AUDIO, ETH, jetons, attaquants, proposition de gouvernance.
Les propositions cryptographiques sont des moyens d'obtenir un consensus parmi les communautés blockchain. Cependant, un piratage s'est produit à la suite de l'adoption d'une proposition de gouvernance malveillante. Une plateforme musicale décentralisée, Audius, a perdu 6,1 millions de dollars en jetons, l'attaquant empochant 1 million de dollars.
Lors d'un piratage le 23 juillet, Audius, une plateforme décentralisée de streaming musical, a été exploitée grâce à une vulnérabilité dans son code de contrat intelligent de gouvernance. En conséquence, l'attaquant a volé environ 6,05 millions de dollars en jetons AUDIO, la cryptocurrency native de la plateforme. L'attaquant a réussi son plan lorsque la communauté a approuvé la proposition malveillante étiquetée Proposition #85. En conséquence, des jetons AUDIO d'une valeur de 18 millions ont été transférés. Selon un compte sur Twitter,
speekaway, l'attaquant a créé des propositions malveillantes pour appeler, initialiser et se faire passer pour le seul agent des contrats gouvernementaux.
Comment l'attaquant a réalisé le vol
Selon le post-mortem de l'attaque d'Audius, l'attaquant a trouvé une faille dans le code d'initialisation qui lui a permis de manipuler les contrats de gouvernance, de jalonnement et de délégation d'Audius. Le code d'initialisation est un type de code qui permet à une plateforme décentralisée d'effectuer des opérations sans dépendre d'administrateurs centralisés.
Grâce à l'exploit, l'attaquant a redéfini le vote sur Audius et a tenté de déléguer deux fois 10 trillions de jetons AUDIO dans leurs portefeuilles. D'après le rapport, la première tentative de l'attaquant a échoué, mais il a réussi avec sa deuxième proposition malveillante.
De cette façon, l'attaquant a pu transférer 18 564 497 jetons AUDIO vers un
portefeuille Ethereum et les voler.
D'après les données de la blockchain provenant du portefeuille de l'attaquant, ce dernier a échangé les jetons volés contre 704,17 Ether (ETH), soit une valeur de plus de 1,09 million de dollars à l'époque sur
Uniswap.
Audius a découvert l'exploit plus d'une demi-heure après que l'attaquant ait délégué 10 trillions de jetons AUDIO. Après cette découverte, l'équipe a mis en œuvre le correctif initial. Toutefois, au moment de la rédaction de ce rapport, tous les contrats de la plateforme sont en cours de mise à niveau, de sorte que certaines fonctionnalités sont actuellement indisponibles.
Réponse d'Audius au piratage
Roneil Rumburg, cofondateur et PDG d'Audius, a déclaré à Cointelegraph qu'aucune proposition malveillante n'a été passée :
"Il s'agissait d'un exploit - pas d'une proposition proposée ou passée par un quelconque moyen légitime - il s'est juste trouvé que le système de gouvernance a été utilisé comme point d'entrée pour l'attaque."
Selon
Audius, un tiers non autorisé a volé les jetons AUDIO dans la trésorerie de la société. Après cette révélation, Audius a interrompu de manière proactive tous les smart contracts basés sur Ethereum et les jetons AUDIO par précaution. Après un examen approfondi et une atténuation de la vulnérabilité, la société a repris les transferts de jetons peu après.
Selon l'enquêteur blockchain Peckshield, les incohérences d'Audius étaient à l'origine du problème.
Après que la proposition de gouvernance de l'attaquant ait drainé 18 millions de jetons d'une valeur de près de 6 millions de dollars de la trésorerie de l'entreprise, ceux-ci sont rapidement écoulés et revendus pour 1,08 million de dollars. Les investisseurs ont recommandé un rachat immédiat après le dumping afin d'éviter tout dumping supplémentaire et de faire baisser davantage le prix plancher du jeton.
Conclusion
Selon le cofondateur et PDG d'Audius, Roneil Rumburg, la cause première de l'exploit a été atténuée et ne peut être réexploitée. En outre, la trésorerie de la communauté reste séparée de celle de la fondation, ce qui protège les fonds restants.
Auteur : Observateur Gate.io : M. Olatunji
Avertissement :
* Cet article ne représente que l'opinion des observateurs et ne constitue pas une suggestion d'investissement.
*Gate.io se réserve tous les droits sur cet article. La rediffusion de l'article sera autorisée à condition que Gate.io soit référencé. Dans tous les autres cas, une action en justice sera engagée pour violation des droits d'auteur.