Hackerlar Kötü Amaçlı Bir Yönetişim Teklifini Ele Geçirdikten Sonra Audius_tan 6 Milyon Dolar Çaldı
By Balcı B., Gate.io Researcher
TL: DR
- Bir saldırgan, bir Web3 müzik platformu olan Audius'tan 6 milyon dolardan fazla AUDIO tokenlerini çaldı.
- Saldırgan, platformdan 10 trilyon değerinden fazla AUDIO tokenini çekip Ethereum ile takas edebildi. Daha sonra bir değişim platformu aracılığıyla ETH'yi nakit olarak takas ettiler.
- Audius CEO'suna göre, saldırganın kullandığı boşluk azaltıldı ve yeniden kullanılamaz duruma getirildi.
Anahtar Kelimeler: Audius, AUDIO, ETH, Tokenler, Saldırganlar, Yönetişim teklifi.
Kripto teklifleri, blok zinciri toplulukları arasında fikir birliğine varmanın araçlarıdır. Ancak, kötü niyetli bir yönetişim önerisinin kabul edilmesinin bir sonucu olarak bir hack meydana geldi. Merkezi olmayan bir müzik platformu olan Audius, 6,1 milyon dolarlık token kaybetti ve saldırgan 1 milyon doları cebe indirdi.
23 Temmuz'daki bir hack sırasında, merkezi olmayan bir müzik akışı platformu olan Audius, yönetişim akıllı sözleşme kodundaki bir güvenlik açığından yararlanıldı. Sonuç olarak, saldırgan, platformun yerel kripto para birimi olan AUDIO tokenlerinde yaklaşık 6,05 milyon dolar çaldı. Topluluk, Teklif #85 etiketli kötü niyetli teklifi onayladığında saldırgan planlarını başarıyla gerçekleştirdi. Sonuç olarak, 18 milyon değerinde AUDIO tokenleri transfer edildi. Twitter'daki bir hesaba göre, speekaway, saldırgan aramak, başlatmak ve kendilerini hükümet sözleşmelerinin tek temsilcisi olarak ayarlamak için kötü niyetli teklifler yarattı.
Saldırgan hırsızlığı nasıl gerçekleştirdi?
Audius'un saldırının otopsisine göre, saldırgan, başlatma kodunda Audius'un yönetim, hisse ve delegasyon sözleşmelerini manipüle etmesine izin veren bir kusur buldu. Başlatma kodu, merkezi olmayan bir platformun merkezi yöneticilere güvenmeden işlemleri gerçekleştirmesine izin veren bir kod türüdür.
Saldırgan, istismarı kullanarak Audius'ta oylamayı yeniden tanımladı ve cüzdanlarına iki kez 10 trilyon AUDIO tokenini devretmeye çalıştı. Rapora göre, saldırganın ilk girişimi başarısız oldu, ancak ikinci kötü niyetli teklifiyle başarılı oldu.
Bu şekilde, saldırgan 18.564.497 SES tokenini bir Ethereum cüzdanına aktarabilir ve çalabilir.
Saldırganın cüzdanındaki blok zinciri verilerine dayanarak, saldırgan, çalınan tokenleri Uniswap'ta o sırada 1,09 milyon dolardan fazla olan 704.17 Ether (ETH) ile takas etti.
Audius, saldırganın 10 trilyon AUDIO tokeni devretmesinin üzerinden yarım saatten fazla bir süre geçtikten sonra açığı keşfetti. Keşiften sonra ekip ilk düzeltmeyi uyguladı. Ancak, bu rapor sırasında, platformdaki tüm sözleşmeler yükseltiliyor, bu nedenle bazı işlevler şu anda kullanılamıyor.
Hack'e Audius Yanıtı
Audius'un kurucu ortağı ve CEO'su Roneil Rumburg, Cointelegraph'a kötü niyetli bir teklifin kabul edilmediğini söyledi:
"Bu bir istismardı - önerilen veya herhangi bir meşru yoldan geçen bir teklif değil - sadece yönetim sistemini saldırı için giriş noktası olarak kullandı."
Audius'a göre, yetkisiz bir üçüncü taraf, şirketin AUDIO token hazinesini soydu. Bu açıklamadan sonra Audius, önlem olarak tüm Ethereum tabanlı akıllı sözleşmeleri ve AUDIO tokenlerini proaktif olarak durdurdu. Güvenlik açığının kapsamlı bir incelemesinin/azaltılmasının ardından şirket, kısa bir süre sonra token transferlerini yeniden başlattı.
Blockchain araştırmacısı Peckshield'e göre, sorunun nedeni Audius'un tutarsızlıklarıydı.
Saldırganın yönetim önerisi, şirketin hazinesinden yaklaşık 6 milyon dolar değerinde 18 milyon tokeni boşalttıktan sonra, bunlar hızla atılır ve 1.08 milyon dolara yeniden satılır. Yatırımcılar, ek dampingi önlemek ve tokenin taban fiyatını daha da düşürmek için dampingin ardından derhal geri alım yapılmasını tavsiye etti.
Sonuç
Audius'un kurucu ortağı ve CEO'su Roneil Rumburg'a göre, istismarın temel nedeni hafifletildi ve yeniden istismar edilemedi. Ayrıca cemaat hazinesi, vakıf hazinesinden ayrı kalır ve böylece kalan fonları korur.
Yazar: Gate.io Gözlemci: M. Olatunji Çevirmen: Baturalp BALCI
Sorumluluk Reddi:
* Bu yazı sadece gözlemcilerin görüşlerini yansıtmakta olup herhangi bir yatırım önerisi niteliği taşımamaktadır.
*Gate.io bu makalenin tüm haklarını saklı tutar. Gate.io'ya atıfta bulunulması koşuluyla makalenin yeniden yayınlanmasına izin verilecektir. Diğer tüm durumlarda, telif hakkı ihlali nedeniyle yasal işlem yapılacaktır.
