Злоумышленники украли 6 миллионов долларов у компании Audius, воспользовавшись ошибкой в контракте

Децентрализованная платформа потокового вещания музыки Audius подверглась атаке 23 июля, когда злоумышленник использовал уязвимость в коде смарт-контракта управления. Согласно анализу взлома Audius, злоумышленник похитил более 18,5 миллионов токенов AUDIO, родной криптовалюты платформы, стоимостью около 6,05 миллионов долларов США на тот момент.

Хакер выявил недостаток в коде инициализации контракта, который помог злоумышленнику манипулировать контрактами Audius на управление, ставку и делегирование, согласно отчету Audius об атаке. Смарт-контракт - это код, который позволяет децентрализованным платформам выполнять функции без участия централизованного органа.

С помощью эксплойта злоумышленник переопределил голосование по протоколу Audius и попытался дважды делегировать 10 триллионов токенов AUDIO на свой кошелек для принятия предложений по управлению. Первая попытка злоумышленника провалилась, но второе вредоносное предложение было принято, говорится в отчете.

Это позволило злоумышленнику украсть 18 564 497 токенов AUDIO из казны сообщества и перевести их на кошелек Ethereum.

Затем злоумышленник обменял украденные токены на 704,17 Ether (ETH) стоимостью более $1,09 млн. на децентрализованной бирже Uniswap, согласно данным блокчейн кошелька злоумышленника.

Команда Audius была впервые предупреждена об эксплойте более чем через полчаса после первой попытки злоумышленника передать 10 триллионов токенов AUDIO. Команда обнаружила ошибку менее чем за час и развернула первоначальное исправление. Платформа находится в процессе обновления всех своих контрактов, и некоторые функции остаются отключенными.

В течение двух лет команда OpenZeppelin дважды проверяла эксплуатируемые контракты, но ошибка не была обнаружена, говорится в отчете Audius.