Θύμα παραβίασης έπεσε η αποκεντρωμένη μουσική πλατφόρμα Audius, με το hacker να κλέβει πάνω από 18 εκατομμύρια κουπόνια AUDIO, αξίας περίπου 6 εκατομμυρίων δολαρίων.
Δείτε επίσης: Οι ΗΠΑ αυξάνουν την ανταμοιβή για tips για hackers της Βόρειας Κορέας
Το Audius είναι μια αποκεντρωμένη πλατφόρμα ροής, που φιλοξενείται στο blockchain Ethereum, όπου οι καλλιτέχνες μπορούν να κερδίζουν κουπόνια AUDIO μοιράζοντας τη μουσική τους και οι χρήστες μπορούν να κερδίζουν κουπόνια επιμελώντας και ακούγοντας περιεχόμενο.
Αφού ένας hacker έκλεψε μάρκες AUDIO αξίας 6 εκατομμυρίων δολαρίων αυτό το Σαββατοκύριακο, η πλατφόρμα απάντησε μέσα σε λίγα λεπτά παγώνοντας αρκετές υπηρεσίες, έως ότου οι προγραμματιστές μπορέσουν να αναπτύξουν διορθώσεις για να αποτρέψουν περαιτέρω κλοπή κουπονιών.
Σύμφωνα με μια αναφορά που δημοσιεύτηκε από την Audius την Κυριακή, ο κακόβουλος παράγοντας εκμεταλλεύτηκε ένα σφάλμα στον κώδικα προετοιμασίας του συμβολαίου, που του επέτρεπε να εκτελεί επαναλαμβανόμενες επικλήσεις των λειτουργιών προετοιμασίας.
Αυτό επέτρεψε στον εισβολέα να μεταφέρει στο πορτοφόλι του 18,5 εκατομμύρια μάρκες AUDIO που κατείχε το λεγόμενο «κοινοτικό ταμείο», κλέβοντας ουσιαστικά ένα σημαντικό χρηματικό ποσό και αλλάζοντας τη δυναμική διακυβέρνησης της πλατφόρμας.
Δείτε ακόμα: Οι hackers σκανάρουν για ευάλωτα συστήματα μέσα σε 15 λεπτά από την αποκάλυψη νέων ευπαθειών
Στη συνέχεια, ο hacker επιχείρησε να εκτελέσει τέσσερις προτάσεις διακυβέρνησης, τρεις από τις οποίες απέτυχαν και μία πέρασε, μεταφέροντας ολόκληρη την κοινότητα του Audius στο πορτοφόλι του εισβολέα.
Όπως συμπέρανε η Audius στην έκθεση μετά την παραβίαση, δεν κόπηκαν νέες μάρκες και το περιστατικό δεν είχε καμία επίδραση στην κυκλοφορία της προμήθειας. Όλα τα υπόλοιπα χρήματα των χρηστών είναι πλέον ασφαλή σύμφωνα με την πλατφόρμα.
Μέχρι αργά την Κυριακή, το κουπόνι AUDIO ήταν και πάλι πλήρως λειτουργικό, αλλά τα συστήματα έξυπνων συμβολαίων «Staking» και «Delegate Manager» δεν έχουν ξαναρχίσει τη λειτουργία τους καθώς οι διορθώσεις βρίσκονται ακόμη υπό αξιολόγηση.
Εν τω μεταξύ, ο εισβολέας αντάλλαξε τα token του στο Uniswap για μόλις 1,07 εκατομμύρια δολάρια, χάνοντας τα 5/6 της αξίας τους και στη συνέχεια τα πέρασε από την υπηρεσία ανάμειξης μετρητών Tornado για να κρύψει τα ίχνη των κλεμμένων κεφαλαίων.
Δείτε επίσης: Hackers στοχεύουν την Ε.Ε. με το Konni RAT
Το σύστημα συμβάσεων της Audius έχει υποβληθεί σε δύο εις βάθος αξιολογήσεις ασφαλείας τον Αύγουστο του 2020 και τον Οκτώβριο του 2021 από δύο διαφορετικούς ελεγκτές, αλλά κανένας από τους δύο δεν ανακάλυψε την ευπάθεια που χρησιμοποιήθηκε.
Αυτή είναι μια διδακτική στιγμή για την Audius και άλλα έργα που βασίζονται σε blockchain, δείχνοντας ότι οι απαιτούμενοι έλεγχοι δεν εντοπίζουν πάντα όλα τα εκμεταλλεύσιμα σφάλματα.
