23 июля неизвестный вывел около $6 млн в цифровых активах из казны децентрализованной стриминговой платформы Audius. Злоумышленник изменил конфигурацию смарт-контракта и инициализировал вредоносное предложение по управлению.
Hello everyone - our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.If you'd like to help our response team, please reach out.— Audius 🎧 (@AudiusProject) July 24, 2022
«Наша команда осведомлена о неавторизованном переводе токенов AUDIO из казны сообщества. Мы активно изучаем инцидент и сообщим о результатах расследования позже», — говорится в заявлении разработчиков.
По данным специализирующейся на безопасности компании CertiK, неизвестный модифицировал конфигурацию смарт-контракта платформы, что позволило ему присвоить своему адресу статус «опекуна» и изменить период голосования.
После этого злоумышленник разместил предложение по управлению проектом, которое предполагало перевод 18 млн AUDIO на сторонний кошелек, и проголосовал в его пользу.
(1/2) The attacker called the "initialize" function in the Audius governance contract to modify configurations (through re-initialization) such as "voting period", "execution delay", "guardian address".Then the attacker submitted the malicious proposal(ID 85).— CertiK Alert (@CertiKAlert) July 24, 2022
На момент атаки рыночная стоимость похищенных активов составляла около $6 млн, однако из-за сильного проскальзывания цены хакер реализовал их за 705 ETH (~$1,14 млн). Согласно Etherscan, злоумышленник перевел средства на адрес миксера Tornado Cash.
Аналитики PeckShield отметили, что неизвестному удалось получить доступ к казне Audius из-за «несогласованности» отдельных элементов системы управления хранилищем проекта.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp— PeckShield Inc. (@peckshield) July 24, 2022
Чтобы предотвратить дальнейшую потерю средств, разработчики Audius приостановили смарт-контракты платформы. 24 июля команда возобновила работу контракта AUDIO.
Напомним, во втором квартале 2022 года суммарные потери криптопроектов от взломов и мошенничества превысили $670 млн, согласно Immunefi.
