Kripto para alanındaki saldırıların sonu gelmiyor. Bir saldırı haberi de Audius’tan geldi. Ancak bu seferki saldırının cinsi biraz farklı oldu.
Kripto para teklifleri toplulukların fikir birliği ile alınan kararlar sonrası hazırlanıyor. Ancak saldırgan bu fikri kullanarak platformdan para çaldı. Merkeziyetsiz müzik platformu Audius içinde kötü niyetli bir yönetim önerisi kabul edildiğinde 6,1 milyon dolarlık token transfer edildi ve saldırgan 1 milyon dolar kazandı.
Kötü niyetli bir kişi 24.07.2022 Pazar günü, 18 milyon adet AUDIO tokenının transfer talebinde bulundu. Proposal 85 adındaki kötü niyetli bir teklif, topluluk oylamasıyla onaylandı. Ancak saldırgan sözleşmede kendisini tek yetkili olarak ayarladı.
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you'd like to help our response team, please reach out.
— Audius 🎧 (@AudiusProject) July 24, 2022
Şirket saldırı hakkında açıklama yaptı
Audius’un Kurucu Ortağı ve CEO’su Roneil Rumburg konu hakkında yaptığı açıklamada, topluluğun kötü niyetli teklifi kabul etmediğini belirtti ve sözlerine şöyle devam etti:
“Önerilen ya da herhangi bir meşru yoldan geçen bir teklif değildi, bu bir istismardı. Saldırının giriş noktası olarak ise yönetim sistemi kullanıldı”
Araştırmalar sonucunda AUDIO tokenlarının şirket hazinesinden yetkisiz olarak transfer edildiği ortaya çıktı. Şirket daha fazla kaybın yaşanmaması için hemen Ethereum blok zincirindeki tüm Audius akıllı sözleşmelerini ve AUDIO tokenlarını proaktif olarak durdurdu. Şirket yaptığı araştırmalar sonrasında güvenlik açığını buldu ve incelemeler sonrasında akıllı sözleşme işlevselliğini devam ettirdi.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Saldırgan şirketten 6 milyon dolar değerinde 18 milyon token çaldı. Şirket kaybı en aza indirmek için bir dump operasyonu başlattı. Saldırgan elindeki tokenları 1,08 milyon dolara sattı. Yatırımcılar dump yapılmasını ve tokenın taban fiyatının daha da düşmesini engellemek için hızlıca geri alım yapılmasını önerdi.
Şirket CEO’su, bu istismarın temel nedeninin azaltıldığını ve yeni bir istismarın gerçekleşme ihtimalinin olmadığını söyledi. Ayrıca topluluk hazinesi vakıf hazinesinden ayrı tutulduğu için kalan fonların, herhangi bir istismar tehlikesine karşı güvende olduğunun altını çizdi.
Bu süreçte bir başka saldırı uyarısı da Yuga Labs’tan geldi. Yuga Labs, sosyal medya hesapları için beklenen “koordineli bir saldırı” hakkında ikinci uyarı yayınlandı.
