🔑 Đăng ký tài khoản với Gate.io
👨💼 Hoàn thành KYC trong vòng 24 giờ
🎁 Nhận phần thưởng Point
Tin tức về tiền điện tử, điểm nóng & thông tin chi tiết của ngành blockchain
- Một kẻ tấn công đã đánh cắp mã thông báo AUDIO trị giá hơn 6 triệu đô la từ Audius, một nền tảng âm nhạc Web3.
- Kẻ tấn công đã có thể rút hơn 10 nghìn tỷ token AUDIO từ nền tảng và đổi chúng lấy Ethereum. Sau đó, họ giao dịch ETH lấy tiền mặt thông qua một nền tảng trao đổi.
- Theo Giám đốc điều hành của Audius, lỗ hổng mà kẻ tấn công sử dụng đã được giảm nhẹ và không thể khai thác lại.
Từ khóa: Audius, AUDIO, ETH, Token, Kẻ tấn công, Đề xuất quản trị.
Các đề xuất tiền điện tử là phương tiện đạt được sự đồng thuận giữa các cộng đồng blockchain. Tuy nhiên, một vụ hack đã xảy ra do một đề xuất quản trị độc hại được thông qua. Một nền tảng âm nhạc phi tập trung, Audius, đã mất 6,1 triệu đô la tiền mã hóa, với kẻ tấn công bỏ túi 1 triệu đô la.
Trong một vụ tấn công vào ngày 23 tháng 7, Audius, một nền tảng phát nhạc phi tập trung, đã bị khai thác thông qua một lỗ hổng trong mã hợp đồng thông minh quản trị của nó. Do đó, kẻ tấn công đã đánh cắp khoảng 6,05 triệu đô la token AUDIO, tiền điện tử gốc của nền tảng. Kẻ tấn công đã thành công với kế hoạch của họ khi cộng đồng chấp thuận đề xuất độc hại được gắn thẻ Đề xuất # 85. Kết quả là, các mã thông báo AUDIO trị giá 18 triệu đã được chuyển. Theo một tài khoản trên Twitter, speekaway, kẻ tấn công đã tạo ra các đề xuất độc hại để gọi, khởi tạo và tự đặt mình là đại lý duy nhất của các hợp đồng chính phủ.
Cách kẻ tấn công thực hiện hành vi trộm cắp
Theo khám nghiệm sau cuộc tấn công của Audius, kẻ tấn công đã tìm thấy một lỗ hổng trong mã khởi tạo cho phép hắn thao túng các hợp đồng quản trị, đặt cược và ủy quyền của Audius. Mã khởi tạo là một loại mã cho phép một nền tảng phi tập trung thực hiện các hoạt động mà không cần dựa vào các quản trị viên tập trung.
Bằng cách khai thác, kẻ tấn công đã xác định lại quyền bỏ phiếu trên Audius và cố gắng ủy quyền hai lần 10 nghìn tỷ mã thông báo AUDIO vào ví của chúng. Dựa trên báo cáo, nỗ lực đầu tiên của kẻ tấn công đã thất bại, nhưng anh ta đã thành công với đề xuất ác ý thứ hai của mình.
Bằng cách này, kẻ tấn công có thể chuyển 18.564.497 mã thông báo AUDIO sang ví Ethereum và đánh cắp chúng.
Dựa trên dữ liệu blockchain từ ví của kẻ tấn công, kẻ tấn công đã hoán đổi các mã thông báo bị đánh cắp lấy 704,17 Ether (ETH), trị giá hơn 1,09 triệu đô la vào thời điểm đó trên Uniswap.
Audius đã phát hiện ra vụ khai thác hơn nửa giờ sau khi kẻ tấn công ủy quyền 10 nghìn tỷ mã thông báo AUDIO. Sau khi phát hiện, nhóm đã triển khai khắc phục ban đầu. Tuy nhiên, tại thời điểm báo cáo này, tất cả các hợp đồng trên nền tảng đang được nâng cấp, vì vậy một số chức năng hiện không khả dụng.
Phản ứng của Audius đối với vụ tấn công
Roneil Rumburg, đồng sáng lập và CEO của Audius, nói với Cointelegraph rằng không có đề xuất độc hại nào được thông qua:
"Đây là một vụ lợi dụng - không phải là một đề xuất được đề xuất hoặc thông qua bất kỳ phương tiện hợp pháp nào - nó chỉ xảy ra để sử dụng hệ thống quản trị làm đầu vào cho cuộc tấn công."
Theo Audius, một bên thứ ba trái phép đã cướp token AUDIO của công ty. Sau tiết lộ này, Audius đã chủ động tạm dừng tất cả các hợp đồng thông minh dựa trên Ethereum và mã thông báo AUDIO như một biện pháp phòng ngừa. Sau khi kiểm tra kỹ lưỡng / giảm thiểu lỗ hổng, công ty đã đề xuất chuyển mã thông báo ngay sau đó.
Theo nhà điều tra blockchain Peckshield, sự mâu thuẫn của Audius là nguyên nhân của vấn đề.
Sau khi đề xuất quản trị của kẻ tấn công rút hết 18 triệu mã thông báo trị giá gần 6 triệu đô la từ kho bạc của công ty, chúng nhanh chóng bị bán phá giá và bán lại với giá 1,08 triệu đô la. Các nhà đầu tư đã khuyến nghị mua lại ngay sau khi bán phá giá để ngăn chặn việc bán phá giá bổ sung và giảm giá sàn của mã thông báo hơn nữa.
Kết luận
Theo người đồng sáng lập và Giám đốc điều hành của Audius, Roneil Rumburg, nguyên nhân sâu xa của việc khai thác đã được giảm thiểu và không thể khai thác lại. Ngoài ra, kho bạc cộng đồng vẫn tách biệt với kho quỹ nền tảng, do đó bảo vệ các quỹ còn lại.
Tác giả: M. Olatunji Nhà nghiên cứu trực thuộc Gate.io
Tuyên bố từ chối trách nhiệm:
* Bài viết này chỉ trình bày quan điểm của những người quan sát và không cấu thành bất kỳ đề xuất đầu tư nào.
* Gate.io bảo lưu mọi quyền đối với bài viết này. Việc đăng lại bài viết sẽ được cho phép với điều kiện tham chiếu Gate.io. Trong tất cả các trường hợp khác, hành động pháp lý sẽ được thực hiện do vi phạm bản quyền.
🔑 Đăng ký tài khoản với Gate.io
👨💼 Hoàn thành KYC trong vòng 24 giờ
🎁 Nhận phần thưởng Point