Merkezi olmayan müzik platformu Audius hafta sonu boyunca saldırıya uğradı ve tehdit aktörleri yaklaşık 6 milyon dolar değerinde 18 milyondan fazla ses jetonu çaldı.
Audius, sanatçıların müziklerini paylaşarak ses jetonları kazanabilecekleri Ethereum blockchain'de barındırılan merkezi olmayan bir akış platformudur.
Bir hacker bu hafta sonu 6 milyon dolarlık ses jetonu çaldıktan sonra, platform, geliştiriciler jetonların daha fazla hırsızlığını önlemek için düzeltmeler yapabilene kadar birkaç hizmet dondurarak dakikalar içinde yanıt verdi.
Audius tarafından Pazar günü yayınlanan bir ölüm sonrası raporuna göre, hacker, sözleşme başlatma kodunda, başlatma işlevlerinin tekrarlanan çağrılarını gerçekleştirmelerine izin veren bir hatadan yararlandı.
Bu, davetsiz misafirin sözde “topluluk hazinesi” tarafından düzenlenen 18,5 milyon ses jetonunu cüzdanlarına aktarmasını sağladı, esasen önemli miktarda para çaldı ve platformun yönetişim dinamiklerini değiştirdi.
Daha sonra, aktör, üçü başarısız olan ve geçen dört yönetişim önerisi yürütmeye çalıştı ve Audius topluluk havuzunun tamamını saldırganın cüzdanına aktardı.
Audius'un ölüm sonrası raporunda sonuçlandığı gibi, yeni jetonlar basılmadı ve olayın jeton arzının dolaşımı üzerinde hiçbir etkisi yoktu. Kalan tüm kullanıcı fonları artık platforma göre güvenlidir.
Pazar gününün sonlarında, ses jetonu tekrar tamamen işlevseldi, ancak “Stoping” ve “Delege Manager” akıllı sözleşme sistemleri, düzeltmeler hala değerlendirildikçe çalışmaya devam etmedi.
Bu arada, saldırgan Jetonlarını UNISWAP'ta sadece 1.07 milyon $ karşılığında takas etti, değerlerinin 5/6'sını kaybetti ve daha sonra çalınan fonların izini gizlemek için Tornado nakit karıştırma hizmetinden geçti.
Audius'un sözleşme sistemi, Ağustos 2020 ve Ekim 2021'de iki farklı denetçiden iki derinlemesine güvenlik değerlendirmesi geçirdi, ancak ikisi de sömürülen güvenlik açığını keşfetmedi.
“Denetimler kurşun geçirmez değildir ve piyasada harcanan zaman (ve ortaya çıkan Lindy etkisi) güven oluşturmaya yardımcı olabilir, ancak sömürü için fırsatları dışlamaz” diyor Mortem'de.
“Bu sözleşmeler Ekim 2020'de konuşlandırıldı ve bu güvenlik açığı o zamandan beri Vahşi'de yaşıyor.”
Bu, Audius ve diğer blockchain tabanlı projeler için bir öğretim anıdır ve gerekli denetimlerin her zaman kullanılabilir hataları bulamadığını gösterir.
Audius'un gelecekte iyileştireceğine söz verdiği bir diğer nokta, birkaç iyileştirme noktasının belirlendiği olay tepkisidir.
Audius saldırısı, bilgisayar korsanlarının her iki projeden 600 milyon dolardan fazla jeton çaldığı Axie Infinity'nin Ronin Köprüsü ve Poly Network'dakiler kadar büyük olmasa da, bilgisayar korsanı hala önemli sayıda jeton çaldı.
Bu durumda, Audius, takım üyelerinin çoğu uyanık olduğunda ve daha fazla hırsızlığı önlemek için hızlı bir şekilde yanıt verebildiğinde siber saldırının ortaya çıktığı için şanslıydı.
Büyük ölçekli UNISWAP Airdrop Kimlik Avı Saldırısında 8 milyon dolar çalındı
Bilgisayar korsanları sahte iş görüşmeleri aracılığıyla Axie Infinity'den 620 milyon dolar çaldı
Bilgisayar korsanları, kriptominasyon için son zamanlarda yamalı Confluence hatasını sömürüyor
Sıkılmış Maymun Yat Kulübü, Discord Server Hack'te Çalınan Diğerleri NFTS
İlk kripto içeriden ticaret çantasında eski Coinbase Manager
Kaynak: Bleeping Computer