Merkezi olmayan müzik platformu Audius, hafta sonu boyunca saldırıya uğradı ve tehdit aktörleri yaklaşık 6 milyon dolar değerinde 18 milyondan fazla AUDIO jetonu çaldı.
Audius, sanatçıların müziklerini paylaşarak AUDIO jetonları kazanabilecekleri ve kullanıcıların içerik küratörlüğü ve dinleyerek jeton kazanabileceği Ethereum blok zincirinde barındırılan merkezi olmayan bir akış platformudur.
Bir bilgisayar korsanının bu hafta sonu 6 milyon dolarlık AUDIO jetonunu çalmasının ardından, platform geliştiriciler jetonların daha fazla çalınmasını önlemek için düzeltmeler uygulayana kadar birkaç hizmeti dondurarak birkaç dakika içinde yanıt verdi.
Audius tarafından Pazar günü yayınlanan bir otopsi raporuna göre, bilgisayar korsanı, sözleşme başlatma kodunda, başlatma işlevlerinin tekrar tekrar çağrılmasını sağlayan bir hatadan yararlandı.
Bu, davetsiz misafirin, sözde “topluluk hazinesi” tarafından tutulan 18,5 milyon AUDIO tokenini cüzdanlarına aktarmasına, esasen önemli miktarda para çalmasına ve platformun yönetişim dinamiklerini değiştirmesine olanak sağladı.
Ardından, oyuncu, Audius topluluk havuzunun tamamını saldırganın cüzdanına aktararak, üçü başarısız ve biri başarılı olan dört yönetim önerisini yürütmeye çalıştı.
Audius’un otopsi raporunda belirttiği gibi, yeni jetonlar basılmadı ve olayın jeton arzının dolaşımı üzerinde hiçbir etkisi olmadı. Kalan tüm kullanıcı fonları artık platforma göre güvende.
Pazar günü geç saatlerde, AUDIO tokeni tekrar tamamen işlevseldi, ancak “Stake” ve “Delegate Manager” akıllı sözleşme sistemleri, düzeltmeler hala değerlendirildiği için çalışmaya devam etmedi.
Bu arada saldırgan, jetonlarını Uniswap’ta yalnızca 1,07 milyon dolara alıp, değerlerinin 5/6’sını kaybetti ve ardından çalınan fonların izini gizlemek için bunları Tornado Cash karıştırma hizmetinden geçirdi.
İstismar edilen sistem iki kez denetlendi
Audius’un sözleşme sistemi, Ağustos 2020 ve Ekim 2021’de iki farklı denetçi tarafından iki kapsamlı güvenlik değerlendirmesine tabi tutuldu, ancak ikisi de istismar edilen güvenlik açığını keşfetmedi.
Audius otopsi raporunda, “Denetimler kurşun geçirmez değildir ve piyasada geçirilen zaman (ve bunun sonucunda ortaya çıkan Lindy etkisi) güven oluşturmaya yardımcı olabilir, ancak istismar fırsatlarını dışlamaz” dedi.
“Bu sözleşmeler Ekim 2020’de dağıtıldı ve bu güvenlik açığı o zamandan beri vahşi bir şekilde yaşıyor.”
Bu, Audius ve diğer blok zinciri tabanlı projeler için, gerekli denetimlerin her zaman kullanılabilir tüm hataları bulmadığını gösteren bir öğretim anı.
Audius’un gelecekte iyileştirmeyi vaat ettiği bir diğer nokta da, iyileştirilmesi gereken birkaç noktanın belirlendiği olay tepkisiydi.
Audius saldırısı, bilgisayar korsanlarının her iki projeden 600 milyon doların üzerinde token çaldığı Axie Infinity’nin Ronin köprüsü ve Poly Network’teki saldırıları kadar büyük olmasa da, bilgisayar korsanı hala önemli sayıda token çaldı.
Bu durumda Audius, siber saldırının ekip üyelerinin çoğu uyanıkken ortaya çıktığı ve daha fazla hırsızlığı önlemek için hızla yanıt verebildiği için şanslıydı.