Peretas Mencuri $6 Juta dari Audius setelah Melewati Proposal Tata Kelola yang Berbahaya

2022-07-29, 06:24



TL:DR
- Seorang penyerang mencuri token AUDIO senilai lebih dari $6 juta dari Audius,platform musik Web3。

- Penyerang dapat menarik lebih dari 10 triliun token AUDIO dari platform dan menukarnya dengan Ethereum。Mereka kemudian memperdagangkan ETH dengan uang tunai melalui platform pertukaran。

- Menurut CEO Audius,celah yang digunakan penyerang telah dikurangi dan tidak dapat dieksploitasi kembali。


Kata Kunci:Audius,AUDIO,ETH,Token,Penyerang,proposal tata kelola。

Proposal Crypto merupakan sarana untuk mencapai konsensus di antara komunitas blockchain。 Namun,peretasan terjadi sebagai akibat dari pengesahan proposal tata kelola yang berbahaya。Platform music yang terdesentralisasi,Audius,kehilangan token senilai $6.1 juta,dengan penyerang mengantongi $1 juta。

Selama peretasan pada 23 Juli,Audius,platform streaming musik terdesentralisasi,dieksploitasi melalui kerentanan dalam kode smart contract tata kelolanya。Akibatnya,penyerang mencuri sekitar $6.05 juta token AUDIO,mata uang crypto asli platform。Penyerang berhasil dengan rencana mereka ketika komunitas menyetujui proposal jahat yang ditandai Proposal #85。Akibatnya,token AUDIO senilai 18 juta ditransfer。Menurut sebuah akun di Twitter,speekaway,penyerang membuat proposal jahat untuk menelepon,menginisialisasi,dan menetapkan diri mereka sebagai agen tunggal kontrak pemerintah。



Bagaimana Penyerang melakukan pencurian



Menurut post-mortem serangan Audius,penyerang menemukan cacat dalam kode inisialisasi yang memungkinkannya untuk memanipulasi kontrak tata kelola,pertaruhan,dan delegasi Audius。Kode inisialisasi adalah jenis kode yang memungkinkan platform terdesentralisasi untuk melakukan operasi tanpa bergantung pada administrator terpusat。


Menggunakan eksplotasi,penyerang mendefinisikan ulang pemungutan suara di Audius dan mencoba mendelegasikan 10 triliun token AUDIO dua kali ke dompet mereka。Berdasarkan laporan tersebut, upaya pertama penyerang gagal,tetapi ia berhasil dengan proposal jahat kedua。

Dengan cara ini,penyerang dapat mentransfer 18,564,497 token AUDIO ke Ethereum wallet dan mencurinya。

Berdasarkan data blockchain dari dompet penyerang,penyerang menukar token yang dicuri dengan 704.17 Ether (ETH),senilai lebih dari $1.09 juta pada saat itu di Uniswap

Audius menemukan eksploitasi lebih dari setengah jam setelah penyerang mendelegasikan 10 triliun token AUDIO。Setelah penemuan tersebut,tim menerapkan perbaikan awal。Namun,pada saat laporan ini dibuat,semua kontrak pada platform sedang ditingkatkan,sehingga beberapa fungsi saat ini tidak tersedia。



Respon Audius ke Peretas



Roneil Rumburg,salah satu pendiri dan CEO Audius,mengatakan kepada Cointelegraph bahwa tidak ada proposal jahat yang disahkan:


“Ini merupakan eksploitasi - bukan proposal yang diajukan atau melewati cara yang sah - kebetulan menggunakan sistem pemerintahan sebagai titik masuk untuk serangan tersebut”。



Twitter

Menurut Audius,pihak ketiga yang tidak sah merampok perbendaharaan token AUDIO perusahaan。 Setelah pengungkapan ini,Audius secara proaktif menghentikan semua smart contract berbasis Ethereum dan token AUDIO sebagai tindakan pencegahan。Setelah pemeriksaan menyeluruh/mitigasi kerentanan,perusahaan dengan cepat memulai kembali transfer-an token。

Menurut investigator blockchain Peckshiel,ketidak konsistensian Audius adalah penyebab masalahnya。



Twitter


Setelah proposal tata kelola penyerang menghabiskan 18 juta token senilai hampir $6 juta dari perbendaharaan perusahaan,mereka dengan cepat dibuang dan dijual kembali di harga $1.08 juta。 Investor merekomendasikan pembelian kembali segera setelah pembuangan untuk mencegah pembuangan tambahan dan selanjutnya menurunkan harga dasar token。



Kesimpulan



Menurut salah satu pendiri dan CEO Audius,Roneil Rumburg,akar penyebab eksploitasi telah dimitigasi dan tidak dapat dieksploitasi kembali。Selain itu,kas masyarakat tetap terpisah dari kas yayasan,sehingga melindungi dana yang masih tersisa。





Penulis:Gate.io Pengamat:M. Olatunji Penerjemah:Tasya A.

Disclaimer:

* Artikel ini hanya mewakili pandangan pengamat dan bukan merupakan saran investasi。

* Gate.io memiliki semua hak atas artikel ini。Memposting ulang artikel akan diizinkan asalkan diberikan izin oleh Gate.io。Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta。

Bagikan
gate logo
Credit Ranking
Complete Gate Post tasks to upgrade your rank