'Audits zijn niet kogelvrij': hoe Audius werd gehackt voor $ 6 miljoen aan Ethereum-tokens

Gedecentraliseerde muziekstreamingservice gehoor werd gehackt voor meer dan $ 6 miljoen aan AUDIO penningen tijdens het weekend, dat de aanvaller van zijn bestuur heeft gestolen slim contract. In een postmortaal rapport De service, die eind zondag werd vrijgegeven, gaf gedetailleerde informatie over de aanval en reactie en merkte op dat er misbruik werd gemaakt van een onontdekte bug ondanks eerdere beveiligingsaudits.

Volgens het rapport tikte de hacker op een bug in de initialisatiecode van het slimme contract waardoor hij de service kon manipuleren Ethereum-gebaseerde beheer-, stakings- en delegatiecontracten. Een slim contract is de code die decentrale applicaties mogelijk maakt (dapps) in Web3, waardoor apps, games en protocollen kunnen werken zonder gecentraliseerde tussenpersonen.

Gezien dat gedecentraliseerde model, gebruikt Audius Ethereum-gebaseerde ERC-20 penningen (AUDIO) om community governance mogelijk te maken. Dit model werd echter uiteindelijk zaterdag uitgebuit. Door de exploit heeft de aanvaller de stemstructuur van Audius gewijzigd en tweemaal geprobeerd om 10 biljoen AUDIO-tokens naar hun portemonnee om bestuursvoorstellen door te drukken.

Deze bewegingen hadden geen invloed op de levering van AUDIO-tokens, alleen op het eigen token-inzetsysteem van het platform. Het stelde de aanvaller echter wel in staat een bestuursvoorstel door te geven dat de hele community-tokenpool stuurde:bijna 18.6 miljoen AUDIO-tokens—naar een externe Ethereum portemonnee. De tokens waren op het moment van de overval samen bijna $ 6.1 miljoen waard.

Volgens een door Audius gedeelde tijdlijn van gebeurtenissen, werd het projectteam ongeveer 25 minuten na de tokenoverdracht op de hoogte gebracht van de aanval. Het team bracht toen snel onder pseudoniem witte hoed hacker samczsun van VC-firma Paradigm - die heeft met succes geholpen te dwarsbomen eerdere pogingen tot misbruik van slimme contracten - om te helpen bij de reactie.

Toen het team zich realiseerde dat de exploit nog steeds actief was, ontwikkelde het oplossingen die dezelfde kwetsbaarheid aantikten om uiteindelijk het gebruik ervan te stoppen, en besteedde het de volgende uren aan het implementeren van patches om verdere aanvallen te stoppen. Het team ontwikkelt nog steeds oplossingen voor de langere termijn, met verdere updates die deze week worden beloofd.

In het postmortale rapport was het Audius-team openhartig over mogelijke tekortkomingen of onoplettendheden die de overval mogelijk hadden kunnen maken en/of de reactie ervan hebben vertraagd.

Het team had bijvoorbeeld al bijna twee jaar niet actief aan de code Solidity/Ethereum Virtual Machine (EVM) gewerkt. "Het kostte mensen tijd om weer op de hoogte te zijn van alle dingen hier", schreef het team en merkte op dat het in de toekomst "meer afgestemd zou blijven op de nieuwste stand van de techniek van dev / debugging-tooling".

De slimme contracten van Audius waren echter gecontroleerd door beveiligingsgroepen - eerst door OpenZeppelin in augustus 2020, met verdere contracttoevoegingen gecontroleerd door Kudelski in oktober 2021. Toch bleef die kwetsbaarheid bijna twee jaar open voor het publiek sinds de contracten voor het eerst werden ingezet in oktober 2020.

"Audits zijn niet kogelvrij", schreef het team en merkte op dat de tijd die een contract in het wild doorbrengt zonder problemen "kan helpen om vertrouwen op te bouwen, maar sluit kansen voor uitbuiting niet uit."

Hoewel de tokens gezamenlijk een waarde van meer dan $ 6 miljoen hadden, ruilde de aanvaller ze in voor een veel lagere waarde van Ethereum, misschien in de haast om het geld wit te wassen. De tokens werden verhandeld voor iets meer dan 704 Wrapped Ethereum (WETH) - ongeveer $ 1.07 miljoen waard -op zaterdagavond via uniswap, de leiding gedecentraliseerde uitwisseling.

Daarna stuurde de aanvaller bijna alle ETH door TornadoCash, een mixservice die munten van meerdere transacties combineert om het moeilijker te maken om het pad van cryptofondsen op een blockchain te traceren.