Peretas menghabiskan $1,08 juta dari Audius setelah lolosnya proposal jahat

Proposal dalam crypto membantu komunitas membuat keputusan berdasarkan konsensus. Namun, untuk platform musik Audius yang terdesentralisasi, lolosnya proposal tata kelola yang jahat menghasilkan transfer token senilai $6,1 juta, dengan peretas mengambil $1 juta. 

Pada hari Minggu, proposal berbahaya, Proposal #85, meminta transfer 18 juta token AUDIO internal Audius telah disetujui oleh pemungutan suara komunitas. Pertama kali ditunjukkan di Twitter Crypto oleh spreekaway, sang penyerangdibuat proposal jahat di mana mereka "dapat memanggil initialize() dan menetapkan dirinya sebagai satu-satunya penjaga kontrak tata kelola."

Halo semuanya - tim kami mengetahui laporan tentang transfer token AUDIO yang tidak sah dari perbendaharaan komunitas. Kami secara aktif menyelidiki dan akan melaporkan kembali segera setelah kami mengetahui lebih banyak.

Jika Anda ingin membantu tim respons kami, silakan hubungi.

— Audio (@AudioProject)24 Juli 2022

Berbicara kepada Cointelegraph, salah satu pendiri dan CEO Audius Roneil Rumburg mengklarifikasi bahwa komunitas tersebut tidak memberikan proposal jahat:

"Ini adalah eksploitasi - bukan proposal yang diajukan atau melewati cara yang sah - kebetulan menggunakan sistem tata kelola sebagai titik masuk untuk serangan itu."

Penyelidikan lebih lanjut dari Audius mengkonfirmasi transfer token AUDIO yang tidak sah dari perbendaharaan perusahaan. Menyusul pengungkapan tersebut, Audius secara proaktif menghentikan semua smart contract Audius dan token AUDIO di blockchain Ethereum untuk menghindari kerugian lebih lanjut. Perusahaan, bagaimanapun, melanjutkan transfer token segera setelah itu,menambahkan bahwa "Fungsi kontrak pintar yang tersisa tidak dihentikan setelah pemeriksaan/mitigasi kerentanan secara menyeluruh."

Penyelidik Blockchain Peckshield mempersempit kesalahan pada ketidakkonsistenan tata letak penyimpanan Audius.

Isu@AudioProyek terletak pada tata letak penyimpanan yang tidak konsisten antara proxy dan implnya. Secara khusus, benturan kontrak Treasury Komunitas Audius mengakibatkan kesetaraan menonaktifkan pengubah penginisialisasi. Addr proxyAdmin (0x..abac) berperan di sini.pic.twitter.com/x4CqRncahp

— PeckShield Inc. (@peckshield)24 Juli 2022

Sementara proposal tata kelola peretas menghabiskan 18 juta token senilai hampir $6 juta dari perbendaharaan, itu segera dibuang dan dijual seharga $1,08 juta. Sementara dumping menghasilkan slippage maksimum, investor merekomendasikan pembelian kembali segera untuk mencegah investor yang ada melakukan dumping dan selanjutnya menurunkan harga dasar token. 

Investor belum mendapatkan kejelasan tentang dana yang dicuri, karena salah satu investor bertanya, “Mereka meretas dana komunitas bukan? Dana tim terpisah kan?”

Rumburg mengonfirmasi dengan Cointelegraph bahwa akar penyebab eksploit telah dikurangi dan tidak dapat dieksploitasi kembali. Mengingat bahwa perbendaharaan komunitas dipisahkan dari perbendaharaan yayasan, dana yang tersisa tetap aman dari eksploitasi apa pun.

Terkait:Yuga Labs memperingatkan 'kelompok ancaman terus-menerus' yang menargetkan pemegang NFT

Klub Kapal Pesiar Kera Bosan (BAYC)token tidak dapat dipertukarkan (NFT) pencipta Yuga Labs mengeluarkan peringatan kedua tentang "serangan terkoordinasi" yang diharapkan pada akun media sosialnya.

Tim keamanan kami telah melacak kelompok ancaman terus-menerus yang menargetkan komunitas NFT. Kami percaya bahwa mereka mungkin akan segera melancarkan serangan terkoordinasi yang menargetkan banyak komunitas melalui akun media sosial yang disusupi. Harap waspada dan tetap aman.

— Yuga Labs (@yugalabs)18 Juli 2022

Pada bulan Juni, Gordon Goner, salah satu pendiri Yuga Labs dengan nama samaran,mengeluarkan peringatan pertama kemungkinan serangan masuk pada akun media sosial Twitter-nya. Segera setelah peringatan tersebut, pejabat Twitter secara aktif memantau akun tersebut dan memperkuat keamanan mereka yang ada.