histats

“L’audit n’est pas à l’épreuve des balles”: comment Audius a été piraté pour 6 millions de dollars en jetons Ethereum

“L’audit n’est pas à l’épreuve des balles”: comment Audius a été piraté pour 6 millions de dollars en jetons Ethereum

Bref

  • Audius, une plate-forme musicale Web3, a été piratée samedi pour plus de 6 millions de dollars de jetons AUDIO basés sur Ethereum.
  • L’attaquant a échangé des jetons pour moins de 1,1 million de dollars d’ETH, puis a canalisé l’ETH via un service de mixage de transactions.

Service de musique en streaming décentralisé l’audio a été piraté pour AUDIO d’une valeur de plus de 6 millions de dollars jetons le week-end, que l’attaquant a volé à sa gouvernance contrat intelligent. Dans un rapport post mortem publié dimanche soir, le service a décrit l’attaque et la réponse – notant qu’une faille non détectée a été exploitée malgré les audits de sécurité précédents.

Selon le rapport, le pirate a exploité une faille dans le code d’initialisation du contrat intelligent qui lui a permis de manipuler le service Ethereumcontrats de gestion, d’effort et de délégation. Un contrat intelligent est le code qui exécute des applications décentralisées (dapps) je Web3afin que les applications, les jeux et les protocoles puissent fonctionner sans intermédiaires centralisés.

Compte tenu du modèle décentralisé, Audius utilise ERC-20 basé sur Ethereum jetons (AUDIO) pour permettre la gestion de la communauté. Pourtant, ce modèle a finalement été exploité samedi. Grâce à l’exploit, l’attaquant a modifié la structure de vote d’Audius et a tenté à deux reprises de déléguer 10 000 milliards de jetons AUDIO à leur porte monnaie faire passer des propositions de gestion.

Ces mouvements n’ont pas affecté l’approvisionnement en jetons AUDIO, mais uniquement le système de jalonnement de jetons propre à la plate-forme. Cependant, cela a permis à l’attaquant d’adopter une proposition de gouvernance qui a envoyé le pool de jetons de toute la communauté…près de 18,6 millions de jetons AUDIO– à un Ethereum externe porte monnaie. Les jetons valaient au total près de 6,1 millions de dollars au moment du vol.

See also  Applications anonymes risquées

Selon une chronologie des événements partagée par Audius, l’équipe du projet a été informée de l’attaque environ 25 minutes après le transfert du jeton. L’équipe a alors rapidement apporté le pseudonyme hacker chapeau blanc samczsun par la société de capital-risque Paradigm, qui a contribué avec succès à prévenir tentatives précédentes d’exploitation de contrats intelligents – pour aider à la réponse.

Après avoir réalisé que l’exploit était toujours actif, l’équipe a développé des correctifs qui exploitaient la même vulnérabilité pour finalement arrêter son utilisation, et a passé les heures suivantes à déployer des correctifs pour arrêter toute nouvelle attaque. L’équipe développe toujours des correctifs à long terme, avec d’autres mises à jour promises cette semaine.

Dans le rapport post-mortem, l’équipe d’Audius a été franche sur les lacunes potentielles ou les oublis qui auraient pu permettre le braquage et/ou ralentir la réponse.

Par exemple, l’équipe n’avait pas travaillé activement sur le code Solidity/Ethereum Virtual Machine (EVM) depuis près de deux ans. “Il a fallu du temps aux gens pour se remettre au courant de tout ici”, a écrit l’équipe, notant que cela resterait “plus conforme aux derniers outils de développement/débogage” à l’avenir.

Cependant, les contrats intelligents d’Audiu avaient été audités par des groupes de sécurité – d’abord par OpenZeppelin en août 2020, avec des ajouts de contrats supplémentaires audités par Kudelski en octobre 2021. Néanmoins, cette vulnérabilité est restée ouverte dans le domaine public pendant près de deux ans depuis le premier déploiement des contrats. en octobre 2020.

“Les audits ne sont pas à l’épreuve des balles”, a écrit l’équipe, notant que le temps d’un contrat passé dans la nature “peut aider à renforcer la confiance, mais n’empêche pas les opportunités d’exploitation”.

See also  Les erreurs antivirus les plus courantes et comment vous pouvez augmenter la sécurité de vos données

Alors que les jetons étaient collectivement évalués à plus de 6 millions de dollars, l’attaquant les a échangés contre une valeur beaucoup plus faible d’Ethereum, peut-être pressé de blanchir les fonds. Les jetons se sont échangés pour un peu plus de 704 Wrapped Ethereum (WETH) – d’une valeur d’environ 1,07 million de dollars –le samedi soir passant par Uniswaple leader échange décentralisé.

Ensuite, l’attaquant a envoyé presque tout l’ETH à travers Tornade Cashun service de mélange qui combine des pièces de plusieurs transactions pour rendre plus difficile le suivi du chemin des fonds cryptographiques sur une blockchain.

Restez à jour sur les nouvelles crypto, recevez des mises à jour quotidiennes dans votre boîte de réception.

You may also like...

Leave a Reply

Your email address will not be published.