“Revīzijas nav necaurlaidīgas”: kā Audius tika uzlauzts par 6 miljoniem USD Ethereum žetonos

Decentralizēts mūzikas straumēšanas pakalpojums Audiuss tika uzlauzts vairāk nekā 6 miljonu dolāru vērtībā AUDIO žetoniem, nedēļas nogalē, ko uzbrucējs nozaga no tās pārvaldības smart līgums. Iekšā pēcnāves ziņojums publicēts svētdienas vakarā, dienests detalizēti aprakstīja uzbrukumu un reakciju, un atzīmēja, ka, neskatoties uz iepriekš veiktajiem drošības auditiem, tika izmantota neatklāta kļūda.

Saskaņā ar ziņojumu hakeris pieskārās kļūdai viedā līguma inicializācijas kodā, kas ļāva tam manipulēt ar pakalpojumu. Ethereum- balstīta pārvaldība, līdzdalība un deleģēšanas līgumi. Viedais līgums ir kods, kas nodrošina decentralizētas lietojumprogrammas (dapps) iekšā Web3, kas ļauj lietotnēm, spēlēm un protokoliem darboties bez centralizētiem starpniekiem.

Ņemot vērā šo decentralizēto modeli, Audius izmanto uz Ethereum balstītu ERC-20 žetoniem, (AUDIO), lai nodrošinātu kopienas pārvaldību. Tomēr šis modelis galu galā tika izmantots sestdien. Izmantojot ekspluatāciju, uzbrucējs mainīja Audius balsošanas struktūru un divreiz mēģināja deleģēt 10 triljonus AUDIO žetonu. seifs virzīt cauri pārvaldības priekšlikumiem.

Šīs kustības neietekmēja AUDIO marķieru piegādi, tikai platformas pašas marķieru likmju sistēmu. Tomēr tas ļāva uzbrucējam pieņemt pārvaldības priekšlikumu, kas nosūtīja visu kopienas pilnvaru kopu -gandrīz 18.6 miljoni AUDIO žetonu— uz ārēju Ethereum seifs. Žetonu kopējā vērtība laupīšanas laikā bija gandrīz 6.1 miljons USD.

Saskaņā ar Audius kopīgoto notikumu laika grafiku, projekta komanda tika brīdināta par uzbrukumu aptuveni 25 minūtes pēc marķiera pārsūtīšanas. Pēc tam komanda ātri ieviesa pseidonīmu balta cepure hakeris samczsun riska kapitāla uzņēmuma Paradigm, kuram ir veiksmīgi palīdzēja izjaukt pagātnes viedo līgumu izmantošanas mēģinājumi — palīdzēt atbildē.

Sapratusi, ka ļaunprātīga izmantošana joprojām ir aktīva, komanda izstrādāja labojumus, kas izmantoja to pašu ievainojamību, lai galu galā apturētu tās izmantošanu, un pavadīja nākamās vairākas stundas, izvietojot ielāpus, lai apturētu turpmākos uzbrukumus. Komanda joprojām izstrādā ilgtermiņa labojumus, un šonedēļ tiek solīti turpmāki atjauninājumi.

Pēcnāves ziņojumā Audius komanda atklāti runāja par iespējamiem trūkumiem vai nepilnībām, kas varētu būt veicinājušas nolaupīšanu un/vai palēninājušas tās reakciju.

Piemēram, komanda gandrīz divus gadus nebija aktīvi strādājusi pie Solidity/Ethereum virtuālās mašīnas (EVM) koda. “Pagāja laiks, lai atgūtu visu šeit notiekošo,” raksta komanda, norādot, ka tā būs “vairāk saskaņota ar jaunākajiem izstrādes/atkļūdošanas rīku sasniegumiem”.

Tomēr Audius viedos līgumus pārbaudīja drošības grupas — vispirms OpenZeppelin 2020. gada augustā, bet turpmākos līgumu papildinājumus pārbaudīja Kudeļskis 2021. gada oktobrī. Tomēr šī ievainojamība bija publiski pieejama gandrīz divus gadus, kopš līgumi tika noslēgti pirmo reizi. izvietots 2020. gada oktobrī.

"Revīzijas nav necaurlaidīgas," raksta komanda, norādot, ka līguma laiks, kas pavadīts savvaļā bez problēmām, "var palīdzēt vairot pārliecību, bet neizslēdz izmantošanas iespējas."

Lai gan žetonu kopējā vērtība pārsniedza 6 miljonus ASV dolāru, uzbrucējs tos nomainīja pret daudz zemāku Ethereum vērtību, iespējams, steidzoties atmazgāt līdzekļus. Žetoni tika tirgoti par nedaudz vairāk nekā 704 Wrapped Ethereum (WETH) — aptuveni USD 1.07 miljonu vērtībā.sestdienas vakarā līdz Nemainiet, vadošais decentralizēta apmaiņa.

Pēc tam uzbrucējs nosūtīja gandrīz visu ETH Tornado nauda, sajaukšanas pakalpojums, kas apvieno monētas no vairākiem darījumiem, lai būtu grūtāk izsekot kriptovalūtu līdzekļu ceļam blokķēdē.