'Revizije nisu otporne na metke': Kako je Audius hakiran za 6 milijuna dolara u Ethereum tokenima

Decentralizirana usluga strujanja glazbe publika je hakiran za više od 6 milijuna dolara vrijedan AUDIO pojavnica tijekom vikenda, koju je napadač ukrao iz njezine uprave pametan ugovor, U obdukcija objavljen kasno u nedjelju, servis je detaljno opisao napad i odgovor—i primijetio da je neotkriveni bug iskorišten unatoč prošlim sigurnosnim revizijama.

Prema izvješću, haker je otkrio grešku u kodu za inicijalizaciju pametnog ugovora koji mu je omogućio manipuliranje servisom Ethereumugovori o upravljanju, udjelima i delegiranju. Pametni ugovor je kod koji pokreće decentralizirane aplikacije (dapps) u Web3, omogućujući aplikacijama, igrama i protokolima rad bez centraliziranih posrednika.

S obzirom na taj decentralizirani model, Audius koristi ERC-20 temeljen na Ethereumu pojavnica (AUDIO) kako bi se omogućilo upravljanje zajednicom. Međutim, ovaj je model u subotu ipak iskorišten. Kroz eksploataciju, napadač je izmijenio strukturu glasovanja Audiusa i dva puta pokušao delegirati 10 trilijuna AUDIO tokena njihovim novčanik progurati prijedloge upravljanja.

Ovi potezi nisu utjecali na ponudu AUDIO tokena, samo na vlastiti sustav tokena platforme. Međutim, omogućio je napadaču da prenese prijedlog upravljanja koji je poslao cijeli skup tokena zajednice—gotovo 18.6 milijuna AUDIO tokena—na vanjski Ethereum novčanik. Tokeni su u vrijeme pljačke zajedno vrijedili gotovo 6.1 milijun dolara.

Prema vremenskoj liniji događaja koju dijeli Audius, projektni tim je upozoren na napad oko 25 minuta nakon prijenosa tokena. Tim je zatim brzo doveo pseudonim bijeli šešir haker samczsun VC tvrtke Paradigm-tko ima uspješno pomogao osujetiti prošli pokušaji iskorištavanja pametnih ugovora—kako bi se pomoglo u odgovoru.

Nakon što su shvatili da je eksploatacija još uvijek aktivna, tim je razvio popravke koji su koristili istu ranjivost kako bi u konačnici zaustavili njezinu upotrebu, te su sljedećih nekoliko sati proveli postavljajući zakrpe kako bi zaustavili daljnje napade. Tim još uvijek razvija dugoročne popravke, a daljnja ažuriranja obećana su ovaj tjedan.

U izvješću o obdukciji, Audiusov tim je bio otvoren o mogućim nedostacima ili propustima koji su mogli omogućiti pljačku i/ili usporiti njezin odgovor.

Na primjer, tim nije aktivno radio na svom Solidity/Ethereum Virtual Machine (EVM) kodu gotovo dvije godine. "Ljudima je trebalo vremena da se vrate na brzinu sa svim stvarima ovdje", napisao je tim, napominjući da će ubuduće ostati "više u skladu s najnovijim stanjem umjetnosti alata za razvoj/otklanjanje pogrešaka".

Međutim, Audius pametne ugovore revidirale su sigurnosne grupe — prvo OpenZeppelin u kolovozu 2020., a daljnje dodatke ugovoru revidirao je Kudelski u listopadu 2021. Čak i tako, ta je ranjivost ostala otvorena u javnosti gotovo dvije godine otkako su prvi ugovori postavljen u listopadu 2020.

"Revizije nisu otporne na metke", napisao je tim, napominjući da vrijeme ugovora provedeno u divljini bez problema "može pomoći u izgradnji povjerenja, ali ne isključuje mogućnosti za iskorištavanje."

Dok su tokeni zajedno bili procijenjeni na više od 6 milijuna dolara, napadač ih je zamijenio za mnogo nižu vrijednost Ethereuma, možda u žurbi da opere sredstva. Tokenima se trgovalo za nešto više od 704 Wrapped Ethereuma (WETH)—vrijednosti oko 1.07 milijuna dolara—u subotu navečer preko Otkaži, vodeći decentralizirana razmjena.

Nakon toga je napadač poslao gotovo sav ETH Tornado gotovina, usluga miješanja koja kombinira novčiće iz više transakcija kako bi se otežalo praćenje puta kripto sredstava na blockchainu.