Web3’ün müzik platformu Audius, bir hackera 18 milyon AUDIO kaptırdı. Kripto topluluklarında teklifler genel olarak oy birliği ile kabul ediliyor. Hacker da istismar için bu yolu tercih etti. Audius müzik platformunda makus niyetli bir idare teklifi oy birliği ile kabul edildi.
Teklifin sonuçlanması durumunda Audius’tan bir hacker tarafından 18 milyon AUDIO token çalındı.
Hackerlar Tarafından 18 Milyon Audius (AUDIO) Tokeni Çalındı
Geçtiğimiz saatlerde 18 milyon Audius (AUDIO) tokenının şirket içi transferini talep eden berbat niyetli teklif (teklif 85) topluluk oylaması ile kabul edildi.
Olay, @spreekaway adlı Twitter kullanıcısı tarafından ortaya çıkarıldı. Saldırgan “initise()’i çağırabilecekleri ve kendini idare kontratının tek koruyucusu olarak ayarlayabilecekleri” tarafında makus niyetli bir teklif yaptı.
Bu ortada haberin yazımı itibariyle 18 milyon AUDIO’nun 6,1 milyon dolar pahasında olduğunu da belirtelim. Hususa ait şirket cephesinden de açıklama geldi:
“Herkese merhaba, takımımız topluluk hazinesinden AUDIO tokenlarının yetkisiz transferine ait raporlardan haberdardır. Faal olarak araştırıyoruz ve daha fazlasını öğrenir öğrenmez sizleri haberdar edeceğiz. Takviye grubumuza yardım etmek isterseniz, lütfen bize ulaşmaktan çekinmeyin.”
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you'd like to help our response team, please reach out.
— Audius ? (@AudiusProject) July 24, 2022
Şirketin başına gelen bu bahtsız olaydan sonra Audius; Ethereum blokzincirindeki tüm Audius kontratlarını ve AUDIO tokenlarını faal olarak durdurdu.
Hacker’ın makûs niyetli teklifi ile topluluk hazinesinden çalışan AUDIO’ların toplam kıymeti 6 milyon dolar kıymetindeydi. Çalınan tokenler kısa mühlet içinde 1.08 milyon dolara satıldı.
Peckshield da mevzuyla ilgili tweet attı.
Sorunun proxy ve impl ortasındaki tutarsız depolama nizamında yattığını söyleyen Peckshield, “Özellikle Audius Community Hazine mukavelesinin çakışması, başlatıcı değiştiriciyi devre dışı bırakma muadili ile sonuçlanır. proxyAdmin adresi (0x..abac) burada bir rol oynar” dedi.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022