by cryptoblog Sumber : Rekt News
Audius, jawaban web3 untuk Spotify, telah menjadi korban serangan pemerintahan, kehilangan $6 juta dari token aslinya, AUDIO.
Penyerang meloloskan proposal jahat yang mentransfer dana langsung dari perbendaharaan sebelum membuangnya ke pasar hanya dengan ~$1 juta.
AUDIO digunakan untuk penghargaan pengguna dan tip artis, serta untuk tujuan tata kelola pada layanan streaming musik.
Tak lama setelah alarm dibunyikan, Audius mengumumkan “transfer tidak sah”, sambil meminta bantuan untuk penyelidikan: “Jika Anda ingin membantu tim respons kami, silakan hubungi._”
Jeda, mundur, mainkan…
Kredit: Audius, Spreek
Menurut post mortem resmi, penyerang dapat menginisialisasi ulang kontrak tata kelola, mendelegasikan sejumlah besar token tata kelola untuk dirinya sendiri dan melewati perlindungan yang dimaksudkan untuk membatasi proposal jahat.
Kemudian, dengan kekuatan voting mereka yang meningkat pesat, mereka dapat meloloskan proposal untuk mentransfer 18 juta token AUDIO dari perbendaharaan dan langsung ke alamat mereka sendiri.
Audius menggunakan AudiusAdminUpgradabilityProxy untuk melakukan peningkatan pada kontrak tata kelola. Alamat proxyAdmin ditetapkan sebagai alamat kontrak tata kelola utama, di slot penyimpanan 0.
Namun, ini menciptakan tabrakan dengan kontrak OpenZeppelin yang Dapat Diinisialisasi, yang mengarah ke bug yang memungkinkan penyerang untuk mengendalikan kontrak tata kelola dan mengubah parameter pada kontrak Tata Kelola, Staking & DelegateManagerV2 Audius.
Untuk detail lebih lanjut, lihat dokumen OpenZeppelin tentang bentrokan penyimpanan.
Post mortem merangkum tindakan penyerang sebagai berikut:
Dengan ini, penyerang dapat (1) Mendefinisikan ulang pemungutan suara pada protokol Audius dan mengubah alamat wali kontrak tata kelola (2) Menyetel alamat tata kelola kontrak Staking & DelegateManagerV2 ke penerapan tata kelola Audius khusus kontrak 0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569) dan menyalahgunakan protokol Audius dengan
Tandai delegasi yang salah sebesar 10.000.000.000.000.000 $AUDIO untuk diri mereka sendiri dalam upaya untuk memberikan suara tata kelola. (Tidak ada dampak pasokan yang beredar / terbatas pada penyimpanan kontrak Staking & Delegation)
Tandai delegasi kedua yang salah sebesar 10.000.000.000.000.000 $AUDIO kepada diri mereka sendiri dalam upaya untuk meloloskan pemungutan suara tata kelola, yang memang meloloskan dan mentransfer dana tersebut. (Tidak ada dampak pasokan yang beredar / terbatas pada penyimpanan kontrak Staking & Delegation)
Mentransfer 18.564.497 token $AUDIO dari perbendaharaan komunitas: https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9
Alamat penyerang: 0xa0c7BD318D69424603CBf91e9969870F21B8ab4c
Penyerang kemudian melanjutkan untuk membuang AUDIO dalam satu transaksi melalui Uniswap v2, menimbulkan slippage besar dan menghasilkan hanya 704 ETH (~$1M).
Dana tersebut kemudian disetorkan ke Tornado Cash sekitar 10 jam kemudian.
Terlepas dari tindakan harga yang ekstrem karena penyerang membuang jarahan, harga AUDIO telah bertahan dengan baik sejak insiden itu.
Waktu respons yang cepat dari tim (ditambah bantuan), dan kerugian yang berasal dari perbendaharaan, bukan dari kantong pengguna, kemungkinan meminimalkan dampak tersebut.
Kontrak telah diaudit dua kali, oleh Kudelski dan OpenZeppelin, dan kerentanannya merupakan masalah yang diketahui.
Namun, ini tampaknya tidak membuat Audius keluar dari daftar putar DeFi untuk selamanya.
Mari kita berharap debut mereka adalah keajaiban satu pukulan.
