Предложения в криптовалюте помогают сообществам принимать решения на основе консенсуса. Однако для децентрализованной музыкальной платформы Auduis принятие вредоносного предложения по управлению привело к переводу токенов на сумму 5,9 млн долларов, при этом хакер унес 1 млн долларов. 

24 июля злонамеренное предложение (Proposal #85), требующее перевода 18 миллионов токенов Audius` in-house AUDIO, было одобрено голосованием сообщества. Как впервые указал в Crypto Twitter @spreekaway, злоумышленник создал вредоносное предложение, в котором он "смог вызвать initialize() и установить себя в качестве единственного хранителя контракта управления".

Привет всем - нашей команде известно о сообщениях о несанкционированном переводе токенов AUDIO из казначейства сообщества. Мы проводим активное расследование и сообщим, как только узнаем больше.

Если вы хотите помочь нашей группе реагирования, пожалуйста, свяжитесь с нами.

- Audius (@AudiusProject) 24 июля 2022 г.

Дальнейшее расследование Auduis подтвердило несанкционированный перевод токенов AUDIO из казначейства компании. После этого Auduis проактивно приостановила все смарт-контракты Audius и токены AUDIO на блокчейне Ethereum

Специалист по исследованию блокчейна Peckshield определил, что причиной неисправности является несоответствие схемы хранения Audius.

Проблема @AudiusProject заключается в несогласованном расположении хранилища между его прокси и impl. В частности, коллизия контракта Audius Community Treasury приводит к эквивалентности отключения модификатора инициализатора. Здесь играет роль адрес proxyAdmin (0x..abac). pic.twitter.com/x4CqRncahp

- PeckShield Inc. (@peckshield) 24 июля 2022 г.

Хотя предложение хакеров по управлению выкачало из казначейства 18 миллионов токенов на сумму почти 6 миллионов долларов, вскоре оно было сброшено и продано за 1,08 миллиона долларов. Хотя сброс привел к максимальному проскальзыванию, инвесторы рекомендовали немедленный выкуп, чтобы предотвратить сброс существующих инвесторов и дальнейшее снижение минимальной цены токена. 

Инвесторы еще не получили ясности по поводу украденных средств, так как один инвестор спросил: "Они взломали фонд сообщества, верно? Фонд команд - это отдельный фонд, правильно?"

Пока идет вскрытие, Audius еще не ответил на просьбу Cointelegraph о комментарии.

Создатель яхт-клуба Bored Ape Yacht Club (BAYC) компания Yuga Labs выпустила второе предупреждение об ожидаемой "скоординированной атаке" на свои аккаунты в социальных сетях.

Наша служба безопасности отслеживает группу постоянных угроз, направленных на сообщество NFT. Мы считаем, что вскоре они могут начать скоординированную атаку на несколько сообществ через взломанные аккаунты в социальных сетях. Пожалуйста, будьте бдительны и оставайтесь в безопасности.

- Yuga Labs (@yugalabs) 18 июля 2022 г.

В июне Гордон Гонер, псевдонимный соучредитель компании Yuga Labs, выпустил первое предупреждение о возможной готовящейся атаке на свои аккаунты в социальных сетях Twitter. Вскоре после предупреждения официальные представители Twitter активно следили за аккаунтами и укрепили существующую защиту.

Источник