23 липня невідомий вивів близько $6 млн у цифрових активах із скарбниці децентралізованої стрімінгової платформи Audius. Зловмисник змінив конфігурацію смарт-контракту та ініціалізував шкідливу пропозицію щодо управління.
Hello everyone — our team is aware of reports of unauthorized transfer of AUDIO tokens from the community treasury. Ми є активно investigative і буде report back as soon as we know more.
Якщо ви хотіли б, щоб наш response team, please reach out.
– Audius 🎧 (@AudiusProject) July 24, 2022
«Наша команда обізнана про неавторизований переведення токенів AUDIO із скарбниці спільноти. Ми активно вивчаємо інцидент і повідомимо про результати розслідування пізніше», – йдеться у заяві розробників.
За даними компанії CertiK, що спеціалізується на безпеці, невідомий модифікував конфігурацію смарт-контракту платформи, що дозволило йому привласнити своєю адресою статус «опікуна» і змінити період голосування.
Після цього зловмисник розмістив пропозицію щодо управління проектом, яка передбачала переведення 18 млн AUDIO на сторонній гаманець, і проголосував на його користь.
(1/2) Підприємець називається “ініціативною” функцією в Audius governance contract to modify configurations (through re-initialization) так як “voting period”, “execution delay”, “guardian address”.
Це attacker submitted the malicious proposal(ID 85).
– CertiK Alert (@CertiKAlert) July 24, 2022
На момент атаки ринкова вартість викрадених активів становила близько $6 млн, проте через сильне прослизання ціни хакер реалізував їх за 705 ETH (~$1,14 млн). Згідно Etherscanзловмисник переказав кошти на адресу міксера Tornado Cash
Аналітики PeckShield зазначили, що невідомому вдалося отримати доступ до скарбниці Audius через неузгодженість окремих елементів системи управління сховищем проекту.
The issue of @AudiusProject lies in inconsistent storage layout між його proxy і impl. У особливій мірі, collision Audius Community Treasury contract results in equivalence disabling the initializer modifier. The proxyAdmin addr (0x..abac) грають у ролі. pic.twitter.com/x4CqRncahp
– PeckShield Inc. (@peckshield) July 24, 2022
Щоб запобігти подальшій втраті коштів, розробники Audius призупинили смарт-контракти платформи. 24 липня команда відновила роботу договору AUDIO.
Нагадаємо, у другому кварталі 2022 року сумарні втрати криптопроектів від зломів та шахрайства. перевищили $670 млнзгідно з Immunefi.
Читайте биткоин-новости ForkLog у нашому Telegram — новини криптовалют, курси та аналітика.
Знайшли помилку у тексті? Виділіть її та натисніть CTRL+ENTER
[ad_2]
Source link
