Un hacker roba USD 1.08 millones a Audius tras la aprobación de una propuesta maliciosa
Las propuestas en el ámbito de las criptomonedas ayudan a las comunidades a tomar decisiones basadas en el consenso. Sin embargo, en el caso de la plataforma musical descentralizada Auduis, la aprobación de una propuesta de gobierno maliciosa dio lugar a la transferencia de tokens por valor de 6,1 millones de dólares, y el hacker se llevó un millón de dólares.
El 24 de julio, una propuesta maliciosa (Propuesta #85) que solicitaba la transferencia de 18 millones de tokens AUDIO internos de Audius fue aprobada por la votación de la comunidad. Señalado por primera vez en Crypto Twitter por @spreekaway, el atacante creó la propuesta maliciosa en la que fue “capaz de llamar a initialize() y establecerse como el único guardián del contrato de gobierno”.
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you’d like to help our response team, please reach out.
— Audius (@AudiusProject) July 24, 2022
Hola a todos – nuestro equipo es consciente de los informes de una transferencia no autorizada de tokens AUDIO de la tesorería de la comunidad. Estamos investigando activamente e informaremos en cuanto sepamos más.
Si quieres ayudar a nuestro equipo de respuesta, por favor, ponte en contacto con nosotros.
En declaraciones a Cointelegraph, el cofundador y CEO de Audius, Roneil Rumburg, aclaró que la comunidad no aprobó una propuesta maliciosa:
Se trataba de un exploit, no de una propuesta propuesta o pasada por algún medio legítimo, simplemente se utilizó el sistema de gobierno como punto de entrada para el ataque.
La investigación posterior de Auduis confirmó la transferencia no autorizada de tokens de AUDIO de la tesorería de la empresa. Tras la revelación, Auduis detuvo proactivamente todos los contratos inteligentes de Audius y los tokens de AUDIO en la blockchain de Ethereum para evitar más pérdidas. La compañía, sin embargo, reanudó las transferencias de tokens poco después, añadiendo que “La funcionalidad restante de los contratos inteligentes se está desbloqueando después de un examen exhaustivo/mitigación de la vulnerabilidad.”
El investigador de blockchain Peckshield redujo la falla a las inconsistencias de la disposición de almacenamiento de Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
El problema de @AudiusProject radica en la inconsistencia de la disposición de almacenamiento entre su proxy y su impl. En particular, la colisión del contrato de Tesorería de la Comunidad de Audius resulta en una equivalencia de deshabilitar el modificador inicializador. El proxyAdmin addr (0x..abac) juega un papel aquí.
Mientras que la propuesta de gobierno del hacker drenó 18 millones de tokens por valor de casi 6 millones de dólares de la tesorería, pronto se volcó y se vendió por 1,08 millones de dólares. Mientras que el dumping resultó en un deslizamiento máximo, los inversores recomendaron una recompra inmediata para evitar que los inversores existentes hagan dumping y bajen aún más el precio mínimo del token.
Los inversores aún no tienen claro los fondos robados, ya que un inversor preguntó: “¿Han pirateado el fondo de la comunidad, verdad? El fondo del equipo está separado, ¿correcto?”.
Rumburg confirmó a Cointelegraph que la causa raíz del exploit ha sido mitigada y no puede volver a ser explotada. Dado que la tesorería de la comunidad se mantiene separada de la tesorería de la fundación, los fondos restantes permanecen a salvo de cualquier exploit.
El creador de Bored Ape Yacht Club (BAYC), Yuga Labs, emitió su segunda advertencia sobre un esperado “ataque coordinado” a sus cuentas de redes sociales.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Nuestro equipo de seguridad ha estado siguiendo a un grupo de amenazas persistentes que tiene como objetivo la comunidad de NFT. Creemos que pronto podrían lanzar un ataque coordinado dirigido a varias comunidades a través de cuentas de redes sociales comprometidas. Por favor, esté atento y manténgase a salvo.
En junio, Gordon Goner, cofundador seudónimo de Yuga Labs, emitió la primera advertencia de un posible ataque entrante en sus cuentas de redes sociales de Twitter. Poco después de la advertencia, los responsables de Twitter supervisaron activamente las cuentas y reforzaron su seguridad.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.