Vorschläge in Krypto helfen Gemeinschaften, konsensbasierte Entscheidungen zu treffen. Für die dezentrale Musikplattform Audiis führte die Verabschiedung eines böswilligen Governance-Vorschlags jedoch zur Übertragung von Token im Wert von 5.9 Millionen US-Dollar, wobei der Hacker 1 Million US-Dollar davontrug.
Am 24. Juli wurde ein böswilliger Vorschlag (Vorschlag #85), der die Übertragung von 18 Millionen Audius-eigenen AUDIO-Token beantragte, wurde durch Community-Voting genehmigt. Zuerst auf Crypto Twitter von @spreekaway, dem Angreifer, hingewiesen erstellt der böswillige Vorschlag, bei dem sie „initialize() aufrufen und sich selbst zum alleinigen Hüter des Governance-Vertrags machen konnten“.
Hallo zusammen – unserem Team sind Berichte über eine nicht autorisierte Übertragung von AUDIO-Token aus der Gemeinschaftskasse bekannt. Wir untersuchen aktiv und werden berichten, sobald wir mehr wissen.
Wenn Sie unserem Reaktionsteam helfen möchten, wenden Sie sich bitte an uns.
– Audius (@AudiusProject) 24. Juli 2022
Weitere Untersuchungen von Audiis bestätigten die unbefugte Übertragung von AUDIO-Token aus der Unternehmenskasse. Nach der Enthüllung stoppte Auduis proaktiv alle Audius Smart Contracts und AUDIO-Tokens in der Ethereum-Blockchain.
Der Blockchain-Ermittler Peckshield grenzte den Fehler auf Inkonsistenzen im Speicherlayout von Audius ein.
Die Frage der @audiusProjektPro liegt in einem inkonsistenten Speicherlayout zwischen seinem Proxy und impl. Insbesondere die Kollision des Audius Community Treasury-Kontrakts führt zu einer Äquivalenz des Deaktivierens des Initialisierungsmodifikators. Hier spielt die ProxyAdmin-Adresse (0x..abac) eine Rolle. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) 24. Juli 2022
Während der Governance-Vorschlag des Hackers 18 Millionen Token im Wert von fast 6 Millionen US-Dollar aus der Staatskasse abzog, wurde er bald entsorgt und für 1.08 Millionen US-Dollar verkauft. Während das Dumping zu einem maximalen Slippage führte, empfahlen die Investoren einen sofortigen Rückkauf, um bestehende Investoren am Dumping zu hindern und den Mindestpreis des Tokens weiter zu senken.
Investoren müssen sich noch Klarheit über die gestohlenen Gelder verschaffen, als ein Investor fragte: „Sie haben den Gemeinschaftsfonds gehackt, richtig? Der Fonds des Teams ist getrennt, richtig?“
Während ein Post-Mortem-Bericht im Gange ist, hat Audius noch nicht auf die Bitte von Cointelegraph um Stellungnahme geantwortet.
Related: Yuga Labs warnt vor einer „permanenten Bedrohungsgruppe“, die auf NFT-Inhaber abzielt
Yuga Labs, der Gründer des Bored Ape Yacht Club (BAYC), gab seine zweite Warnung vor einem erwarteten „koordinierten Angriff“ auf seine Social-Media-Konten heraus.
Unser Sicherheitsteam hat eine hartnäckige Bedrohungsgruppe verfolgt, die auf die NFT-Community abzielt. Wir glauben, dass sie bald einen koordinierten Angriff starten könnten, der über kompromittierte Social-Media-Konten auf mehrere Communities abzielt. Bitte seien Sie wachsam und bleiben Sie sicher.
— Yuga Labs (@yugalabs) 18. Juli 2022
Im Juni hat Gordon Goner, pseudonymer Mitbegründer von Yuga Labs, gab die erste Warnung eines möglichen eingehenden Angriffs auf seine Twitter-Konten in den sozialen Medien. Kurz nach der Warnung überwachten Twitter-Beamte die Konten aktiv und verstärkten ihre bestehende Sicherheit.
Quelle: https://cointelegraph.com/news/hacker-drains-1-08m-from-audius-following-passing-of-malicious-proposal