Un hacker sottrae 1,08 milioni di dollari ad Audius in seguito all’approvazione di una proposta malevola. Le proposte in crittografia aiutano le comunità a prendere decisioni basate sul consenso. Tuttavia, per la piattaforma musicale decentralizzata Auduis, l’approvazione di una proposta di governance dannosa ha portato al trasferimento di token per un valore di 6,1 milioni di dollari, con l’hacker che ha portato via 1 milione di dollari.
Domenica, una proposta malevola, la Proposal #85, che richiedeva il trasferimento di 18 milioni di token AUDIO interni ad Audius, è stata approvata dal voto della comunità. L’aggressore ha creato la proposta malevola, segnalata per la prima volta da spreekaway su Crypto Twitter, e ha potuto “chiamare initialize() e impostare se stesso come unico custode del contratto di governance“.
“Si è trattato di un exploit non di una proposta proposta proposta o passata attraverso qualsiasi mezzo legittimo è capitato di utilizzare il sistema di governance come punto di ingresso per l’attacco”.
Ulteriori indagini di Auduis hanno confermato il trasferimento non autorizzato di token AUDIO dalla tesoreria della società. In seguito alla rivelazione, Auduis ha bloccato in modo proattivo tutti gli smart contract Audius e i token AUDIO sulla blockchain Ethereum per evitare ulteriori perdite. La società, tuttavia, ha ripreso i trasferimenti di token poco dopo, aggiungendo che “le funzionalità rimanenti degli smart contract sono state sbloccate dopo un esame/mitigazione approfondita della vulnerabilità“.
L’investigatore di blockchain Peckshield ha ristretto il problema alle incongruenze del layout di archiviazione di Audius.
Mentre la proposta di governance dell’hacker ha prosciugato 18 milioni di token per un valore di quasi 6 milioni di dollari dal tesoro, è stata presto scaricata e venduta per 1,08 milioni di dollari. Mentre il dumping ha provocato un massimo slittamento, gli investitori hanno raccomandato un riacquisto immediato per evitare che gli investitori esistenti facciano dumping e abbassino ulteriormente il prezzo di base del token.
Gli investitori non hanno ancora ottenuto chiarezza sui fondi rubati, poiché un investitore ha chiesto: “Hanno violato il fondo della comunità, giusto? Il fondo del team è separato, giusto?“.
Rumburg ha confermato a Cointelegraph che la causa principale dell’exploit è stata mitigata e non può essere nuovamente sfruttata. Dato che il fondo della comunità è separato da quello della fondazione, i fondi rimanenti sono al sicuro da qualsiasi exploit.