Le proposte in ambito cripto aiutano le community a prendere decisioni basate sul consenso. Tuttavia, per la piattaforma musicale decentralizzata Audius, l'approvazione di una proposta di governance malevola ha portato al trasferimento di token per un valore di 6,1 milioni di dollari. In questo frangente l'hacker è riuscito a sottrarre oltre 1 milione di dollari.
Domenica, una proposta malevola, la Proposal #85, che richiedeva il trasferimento di 18 milioni di token AUDIO internamente ad Audius, è stata approvata attraverso il voto della comunità. L'aggressore ha creato la proposta malevola, segnalata per la prima volta dall'utente Spreek su Twitter, "riuscendo a chiamare initialize() e impostando sé stesso come unico garante del contratto di governance".
Salve a tutti - il nostro team è a conoscenza di segnalazioni di un trasferimento non autorizzato di token AUDIO dalla tesoreria della comunità. Stiamo indagando attivamente e vi informeremo non appena ne sapremo di più.
Se volete aiutare il nostro response team, contattateci.
— Audius (@AudiusProject) July 24, 2022
Hello everyone - our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
— Audius (@AudiusProject) July 24, 2022
If you'd like to help our response team, please reach out.
Parlando con Cointelegraph, il cofondatore e CEO di Audius, Roneil Rumburg, ha chiarito che la comunità non ha approvato una proposta dannosa:
"Si è trattato di un exploit — non è stata una proposta suggerita o passata attraverso qualche mezzo legittimo — è successo che ha utilizzato il sistema di governance come punto di ingresso per l'attacco".
Ulteriori indagini di Audius hanno confermato il trasferimento non autorizzato di token AUDIO dalla tesoreria della community. In seguito alla rivelazione, Audius ha bloccato in modo proattivo tutti gli smart contract e i token AUDIO sulla blockchain Ethereum, per evitare ulteriori perdite.
L'azienda, tuttavia, ha ripreso i trasferimenti di token poco dopo, aggiungendo che "le restanti funzionalità dello smart contract sono state sbloccate dopo un esame/mitigazione approfondita della vulnerabilità".
Peckshield, società di analisi delle blockchain, sostiene che il problema sia stato causato dalle incongruenze del layout di archiviazione di Audius:
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Mentre la proposta di governance dell'hacker ha prosciugato 18 milioni di token, per un valore di quasi 6 milioni di dollari, la posizione è stata presto liquidata per 1,08 milioni di dollari. In seguito, il dumping ha provocato un forte slippage: gli investitori hanno raccomandato un buyback immediato per evitare che gli utenti esistenti, vendendo i propri token, riducano ulteriormente il prezzo.
Gli investitori non hanno ancora ottenuto chiarezza sui fondi rubati, poiché un utente ha chiesto: "Hanno violato il fondo della comunità, giusto? Il fondo del team è separato?".
Rumburg ha confermato a Cointelegraph che la causa principale dell'exploit è stata mitigata e non può essere nuovamente sfruttata. Dato che il fondo della comunità è separato da quello della fondazione, i fondi rimanenti sono al sicuro da qualsiasi exploit.
Correlato: Yuga Labs avverte: un attacco coordinato prenderà di mira i detentori di NFT
Yuga Labs, creatore del token non fungibile (NFT) Bored Ape Yacht Club (BAYC), ha lanciato il suo secondo avvertimento su un previsto "attacco coordinato" ai suoi account social media.
Il nostro team di sicurezza sta monitorando una serie di minacce persistenti che prende di mira la comunità NFT. Riteniamo che presto potrebbe avvenire un attacco coordinato rivolto a più comunità attraverso account di social media compromessi. Vi invitiamo a essere vigili e a rimanere al sicuro.
— Yuga Labs (@yugalabs) July 18, 2022
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
A giugno Gordon Goner, cofondatore di Yuga Labs, ha lanciato il primo avvertimento di un possibile attacco contro i suoi account di Twitter. Subito dopo l'avvertimento, i funzionari del social media hanno monitorato attivamente gli account e rafforzato la sicurezza esistente.