Что пользователи приложения для потоковой передачи музыки Web3 должны знать о взломе на 6 миллионов долларов

Компьютерные новости и новости технологий на Game-Zoom

Платформа потокового аудио на основе блокчейна Audius на собственном горьком опыте усвоила, что хакеры могут красть средства сообщества, несмотря на то, что они были онлайн в течение двух лет и давно прошли аудит безопасности. Хотя пользователи и держатели токенов AUDIO не пострадали, эта атака напоминает отрасли, что даже хорошо проверенный проект, который существует уже много лет, все еще может иметь скрытую уязвимость, которая ждет, чтобы ее обнаружил и использовал умный хакер.

Audius — это платформа для потоковой передачи музыки в Интернете и блокчейне Web3 с элементами социальных сетей. Он использует блокчейн как часть своего дизайна для защиты прав собственности пользователей на их контент и является одним из крупнейших нефинансовых приложений блокчейна в отрасли. Многие части Audius построены на блокчейне Solana, и из-за комиссий за транзакции в Solana меньше копейки, художники Audius могут бесплатно токенизировать свою работу, чеканя свой контент в виде NFT. Хотя Audius все еще находится в разработке и будет развиваться в течение многих лет, артисты в конечном итоге смогут устанавливать плату за потоковую передачу своей работы, и платформа обещает обеспечить более высокий доход, чем конкуренты Web2, такие как Spotify и Soundcloud. Когда эта функция будет развернута, создатели будут получать оплату в AUDIO, криптовалюте, построенной на блокчейне Ethereum, которая в настоящее время используется для управления сообществом DAO. DAO голосует за изъятие средств из казны и обновление функциональности платформы, чем воспользовался хакер.

По сообщению Music Business Worldwide, 24 июля злоумышленник воспользовался уязвимостью в смарт-контракте управления сообществом Audius (блокчейн-программа), что позволило им «делегировать» 10 триллионов токенов AUDIO, фактически не владея ими, а затем использовать делегированные токены. протолкнуть предложение опустошить казну сообщества в кошелек злоумышленника. 18,6 млн токенов AUDIO, украденных из казны, имели рыночную капитализацию в 6 млн долларов, которые злоумышленник смог сразу же обменять на 1 млн долларов в ETH (собственная криптовалюта Эфириума, эфир) на Uniswap, и в настоящее время находится в процессе отмывания. через миксер Tornado Cash. С тех пор уязвимость была устранена командой разработчиков, и, к счастью, это не повлияло на средства сообщества.

Аудиты безопасности не являются пуленепробиваемыми

Этот инцидент демонстрирует, как даже хорошо протестированный и проверенный на безопасность смарт-контракт может содержать скрытые уязвимости, которые не были обнаружены во время аудита безопасности. Смарт-контракты Audius работают уже два года без каких-либо проблем, что создавало ложное чувство безопасности. Это напоминает всем, что время, проведенное «в дикой природе», не гарантирует, что код безупречен, и что в смарт-контрактах следует периодически проводить аудит безопасности, даже в старом коде.

Точная природа взлома произошла из-за неясных способов, которыми обновляемые смарт-контракты хранят свои данные и взаимодействуют с ними, что является общеизвестным недостатком их использования. Эти сложные конструкции можно сочетать с управлением DAO, предоставляя сообществу возможность голосовать за новые функции и, таким образом, давая им прямое влияние на развитие проекта. Так работает платформа Audius. Однако именно эту функцию хакер использовал, чтобы протолкнуть свое собственное предложение. Как только они обнаружили ошибку хранения данных, которая позволила им делегировать в 10 000 раз больше циркулирующих токенов AUDIO в контракт управления, они смогли принять любое предложение, которое они хотели, в данном случае — изъятие всей казны сообщества.

К счастью, этот взлом не затронул ни пользователей Audius, ни владельцев/стейкеров токенов AUDIO, так как пострадала только казна сообщества, а цена AUDIO упала всего на 9 процентов (вероятно, из-за сделки хакера с Uniswap). С тех пор команда Audius выпустила исправление для этой уязвимости, и разработчики повсюду обратили внимание на то, как хакер провернул это ограбление. Каждый новый взлом, который происходит в индустрии блокчейнов, является обучающим опытом для разработчиков блокчейнов во всем мире, и, к счастью, этот был не таким уж плохим. Несмотря на атаку, Audius по-прежнему остается мощной силой в грядущем поколении Интернета Web3.

Последнее обновление 29.07.2022