Kryptoehdotukset auttavat yhteisöjä tekemään konsensuspohjaisia päätöksiä. Hajautetun musiikkialustan Auduis-musiikkialustalle haitallisen hallintoehdotuksen hyväksyminen johti kuitenkin 5.9 miljoonan dollarin arvoisten tokenien siirtoon, ja hakkeri sai 1 miljoonan dollarin.
24. heinäkuuta haitallinen ehdotus (Ehdotus #85) 18 miljoonan Audiuksen sisäisen AUDIO-tunnuksen siirtoa koskeva pyyntö hyväksyttiin yhteisöäänestyksellä. Hyökkääjä @spreekaway huomautti ensin Crypto Twitterissä luotu haitallinen ehdotus, jossa he "soittivat kutsua iniciaze() ja asettivat itsensä hallintosopimuksen ainoaksi valvojaksi".
Hei kaikki – tiimimme on tietoinen raporteista, jotka koskevat AUDIO-tunnusten luvatonta siirtoa yhteisön kassasta. Tutkimme asiaa aktiivisesti ja raportoimme heti kun tiedämme lisää.
Jos haluat auttaa vastaustiimiämme, ota yhteyttä.
— Audius (@AudiusProject) Heinäkuu 24, 2022
Auduisin tekemä lisätutkimus vahvisti AUDIO-merkkien luvattoman siirron yhtiön kassasta. Paljastuksen jälkeen Auduis pysäytti ennakoivasti kaikki Audiuksen älykkäät sopimukset ja AUDIO-tunnukset Ethereum-lohkoketjussa.
Blockchain-tutkija Peckshield rajasi vian Audiuksen tallennusasettelun epäjohdonmukaisuuksiin.
Aihe @AudiusProject piilee epäjohdonmukaisessa tallennusasettelussa sen välityspalvelimen ja impl. Erityisesti Audius Community Treasury -sopimuksen törmäys johtaa samanarvoiseen alustusmuuntimen poistamiseen käytöstä. ProxyAdmin addr (0x..abac) näyttelee tässä roolia. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) Heinäkuu 24, 2022
Vaikka hakkerin hallintoehdotus tyhjensi 18 miljoonaa rahaketta lähes 6 miljoonan dollarin arvosta, se hylättiin pian ja myytiin 1.08 miljoonalla dollarilla. Vaikka polkumyynti johti maksimaaliseen luisumiseen, sijoittajat suosittelivat välitöntä takaisinostoa estääkseen olemassa olevia sijoittajia tekemästä polkumyyntiä ja alentamasta tokenin pohjahintaa entisestään.
Sijoittajat eivät vielä saaneet selvyyttä varastetuista varoista, koska yksi sijoittaja kysyi: "He hakkeroivat yhteisön rahaston, eikö niin? Joukkueen rahasto on erillinen oikein?"
Vaikka post mortem -raportti on käynnissä, Audius ei ole vielä vastannut Cointelegraphin kommenttipyyntöön.
Related: Yuga Labs varoittaa "jatkuvasta uhkaryhmästä", joka kohdistuu NFT-haltijoihin
Bored Ape Yacht Clubin (BAYC) luoja Yuga Labs antoi toisen varoituksensa odotetusta "koordinoidusta hyökkäyksestä" sen sosiaalisen median tilejä vastaan.
Tietoturvatiimimme on seurannut jatkuvaa uhkaryhmää, joka kohdistuu NFT-yhteisöön. Uskomme, että he saattavat pian käynnistää koordinoidun hyökkäyksen, joka kohdistuu useisiin yhteisöihin vaarantuneiden sosiaalisen median tilien kautta. Ole varovainen ja pysy turvassa.
- Yuga Labs (@yugalabs) Heinäkuu 18, 2022
Kesäkuussa Gordon Goner, Yuga Labsin pseudonyymi perustaja, antoi ensimmäisen varoituksen mahdollisesta hyökkäyksestä sen Twitterin sosiaalisen median tileihin. Pian varoituksen jälkeen Twitter-virkailijat seurasivat aktiivisesti tilejä ja vahvistivat olemassa olevaa turvallisuuttaan.
Lähde: https://cointelegraph.com/news/hacker-drains-1-08m-from-audius-following-passing-of-malicious-proposal