Hacks dentro del dominio de las criptomonedas son muy frecuentes. Recientemente, una plataforma de música descentralizada Auduis sufrió al perder 18.5 millones AUDIO tokens ($ 6 millones) después de un ataque malicioso.
Cuerdas rotas
El 24 de julio, la tesorería de la comunidad de Audius perdió una cantidad significativa debido a un exploit en el código de inicialización del contrato que permitió invocaciones repetidas de la función "inicializar". El equipo respectivo compartió este desarrollo en la plataforma de redes sociales.
Hola a todos: nuestro equipo está al tanto de los informes de una transferencia no autorizada de tokens de AUDIO del tesoro de la comunidad. Estamos investigando activamente e informaremos tan pronto como sepamos más.
Si desea ayudar a nuestro equipo de respuesta, comuníquese con nosotros.
- ¿Audius? (@AudiusProyecto) 24 de Julio de 2022
Diferentes agencias/empresas se esforzaron por publicar su informe post-mortem para un análisis profundo detrás de dicho ataque.
Una plataforma analítica de seguridad criptográfica y blockchain llamada Certik lanzó una descripción general simple para resaltar lo mismo.
El @ProyectoAudius ha sido explotado por un total de ~ $ 6 millones en tokens de AUDIO, los tokens se vendieron por 705 ETH.
El atacante modificó las configuraciones del contrato de gobierno de Audius, luego propuso y ejecutó una propuesta maliciosa que drenó 18.5 millones de AUDIO. pic.twitter.com/djuAO1Jarv
— Alerta CertiK (@CertiKAlert) 24 de Julio de 2022
Aquí, el atacante modificó las configuraciones del contrato de gobierno de Audius, luego propuso y ejecutó una propuesta maliciosa que drenó 18.5 millones de AUDIO.
TEsto permitió a un atacante modificar el sistema de votación y establecer valores de participación erróneos en la red.
Ergo, lo que lleva a una transferencia maliciosa de 18m AUDIO tokens en poder del contrato de gobierno de Audius (referido como el "tesoro de la comunidad") en su billetera.
Más tarde, los atacantes pudieron hacer una propuesta, pasarla, enviarse a sí mismos todas las fichas de tesorería y luego arrojarlo on Uniswap en una transacción. En particular, el atacante vendió 18 millones de tokens de AUDIO por 705 ETH (1.1 millones de dólares).
Parece como $ 6 millones en $Audio solo se negociaron por poco más de $ 1 millón en ETH. https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv
— ¿MistTrack?️ (@MistTrack_io) 24 de Julio de 2022
Además, otra firma, Go+ Security también compartido un breve análisis el 24 de julio para destacar dicho ataque. En un blog, la firma agregó un pequeño diagrama de flujo que afirma el vector de ataque completo.
Manipular los parámetros de votación -> enviar una propuesta maliciosa -> Manipular el peso de los votos -> Votar -> Ejecutar propuesta
La firma agregó además un análisis en profundidad que incluye capturas de pantalla del momento antes mencionado del desafortunado evento. Otro investigador de blockchain peckshield redujo la falla a las inconsistencias en el diseño de almacenamiento de Audius.
La cuestión de la @ProyectoAudius se encuentra en un diseño de almacenamiento inconsistente entre su proxy e impl. En particular, la colisión del contrato del Tesoro Comunitario de Audius da como resultado una equivalencia de deshabilitar el modificador del inicializador. La dirección proxyAdmin (0x..abac) juega un papel aquí. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) 24 de Julio de 2022
¿Control de daños?
El equipo de Audius actualizó que las vulnerabilidades fueron parcheados, pero muchas funciones, como la transferencia de fichas y la visualización del saldo, no se han activado debido a preocupaciones sobre los riesgos.
“Esto se logró mediante la actualización de proxy de cada contrato a un BlockingContract mínimo que no contenía el mismo error. Esto evitó más invocaciones repetidas después de relegar el control de proxyAdmin a una dirección predefinida propiedad del equipo”.
¿Pero ayudó al token afectado? Bueno en realidad no. El token fue testigo de una caída masiva en CoinMarketCap como es evidente en el gráfico a continuación.
Fuente: CoinMarketCap
En el momento de escribir este artículo, el token (AUDIO) sufrió una nueva corrección del 2 % al pasar la marca de los $0.33.
Fuente: https://ambcrypto.com/audius-autopsy-of-6m-music-heist-reveals-some-out-of-key-notes/