'Auditet nuk janë të papërshkueshëm nga plumbat': Si u hakua Audius për 6 milion dollarë në argumentet Ethereum

Shërbim i decentralizuar i transmetimit të muzikës audius u hakerua për më shumë se 6 milionë dollarë AUDIO argumentet gjatë fundjavës, të cilën sulmuesi e vodhi nga qeverisja e saj kontratë zgjuar. Në një raport pas vdekjes i lëshuar të dielën vonë, shërbimi detajoi sulmin dhe përgjigjen—dhe vuri në dukje se një gabim i pazbuluar ishte shfrytëzuar pavarësisht auditimeve të kaluara të sigurisë.

Sipas raportit, hakeri përgjoi një gabim në kodin e inicializimit të kontratës inteligjente që e lejoi atë të manipulonte shërbimin Ethereum-Kontrata të bazuara në qeverisje, aksione dhe delegim. Një kontratë inteligjente është kodi që fuqizon aplikacionet e decentralizuara (dapps) në Web3, duke mundësuar që aplikacionet, lojërat dhe protokollet të funksionojnë pa ndërmjetës të centralizuar.

Duke pasur parasysh atë model të decentralizuar, Audius përdor ERC-20 të bazuar në Ethereum argumentet (AUDIO) për të mundësuar qeverisjen e komunitetit. Megjithatë, ky model u shfrytëzua përfundimisht të shtunën. Nëpërmjet shfrytëzimit, sulmuesi ndryshoi strukturën e votimit Audius dhe dy herë u përpoq të delegonte 10 trilion argumente AUDIO tek ata portofol për të nxitur propozimet e qeverisjes.

Këto lëvizje nuk ndikuan në furnizimin e argumenteve AUDIO, vetëm në sistemin e vetë platformës për vendosjen e tokenave. Megjithatë, ai e lejoi sulmuesin të kalonte një propozim qeverisjeje që dërgoi të gjithë grupin e shenjave të komunitetit-gati 18.6 milionë tokena AUDIO- në një Ethereum të jashtëm portofol. Shenjat kishin vlerë kolektive rreth 6.1 milionë dollarë në kohën e grabitjes.

Sipas një afati kohor të ngjarjeve të ndarë nga Audius, ekipi i projektit u alarmua për sulmin rreth 25 minuta pas transferimit të simbolit. Ekipi më pas solli shpejt pseudonimin haker i kapelës së bardhë samczsun i firmës QV Paradigm-kush ka ndihmoi me sukses për të penguar përpjekjet e kaluara për shfrytëzimin e kontratave inteligjente - për të ndihmuar në përgjigje.

Pasi kuptoi se shfrytëzimi ishte ende aktiv, ekipi zhvilloi rregullime që përdorën të njëjtën dobësi për të ndaluar përfundimisht përdorimin e tij dhe kaloi disa orët e ardhshme duke vendosur arna për të ndaluar çdo sulm të mëtejshëm. Ekipi është ende duke zhvilluar rregullime afatgjata, me përditësime të mëtejshme të premtuara këtë javë.

Në raportin postmortem, ekipi i Audius ishte i sinqertë në lidhje me mangësitë ose gabimet e mundshme që mund të kishin mundësuar grabitjen dhe/ose ngadalësuar reagimin e saj.

Për shembull, ekipi nuk kishte punuar në mënyrë aktive në kodin e tij Solidity/Ethereum Virtual Machine (EVM) për gati dy vjet. "Iu desh kohë njerëzve për t'u rikthyer me shpejtësi në të gjitha gjërat këtu," shkroi ekipi, duke vënë në dukje se do të qëndronte "më në harmoni me gjendjen më të fundit të artit të veglave të devijimit/debugging" në vazhdim.

Sidoqoftë, kontratat inteligjente të Audius ishin audituar nga grupet e sigurisë - së pari nga OpenZeppelin në gusht 2020, me shtesa të mëtejshme të kontratave të audituara nga Kudelski në tetor 2021. Megjithatë, kjo dobësi mbeti e hapur në publik për gati dy vjet që kur kontratat ishin të para vendosur në tetor 2020.

"Auditet nuk janë antiplumb," shkroi ekipi, duke vënë në dukje se koha e një kontrate e kaluar në natyrë pa probleme "mund të ndihmojë në ndërtimin e besimit, por nuk përjashton mundësitë për shfrytëzim."

Ndërsa argumentet u vlerësuan kolektivisht mbi 6 milionë dollarë, sulmuesi i tregtoi ato për një vlerë shumë më të ulët të Ethereum, ndoshta në nxitimin për të pastruar fondet. Shenjat u tregtuan për pak më shumë se 704 Ethereum Wrapped (WETH) - me vlerë rreth 1.07 milion dollarë -natën e së shtunës nga Pa pagesë, kryesor shkëmbimin e decentralizuar.

Më pas, sulmuesi dërgoi pothuajse të gjithë ETH përmes Para Tornado, një shërbim miksues që kombinon monedha nga transaksione të shumta për ta bërë më të vështirë gjurmimin e rrugës së fondeve kripto në një blockchain.