安全動(dòng)態(tài)

去中心化音樂平臺(tái)Audius遭黑客攻擊,超600萬美元被竊取

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2022-07-28    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


據(jù)悉,上周末去中心化音樂平臺(tái)Audius遭受了黑客攻擊,攻擊者竊取了超過1800萬個(gè)AUDIO代幣,總價(jià)值約600萬美元。AUDIO價(jià)格受此事件影響在一小時(shí)內(nèi)驟降17%。

Audius是一個(gè)托管在以太坊區(qū)塊鏈上的去中心化流媒體平臺(tái),藝術(shù)家可以通過分享他們的音樂來獲得AUDIO代幣,而用戶可以通過收聽這些內(nèi)容來賺取代幣。

根據(jù)Audius周日發(fā)布的事后分析報(bào)告,事件中的黑客利用了合約初始化代碼中的一個(gè)錯(cuò)誤,該錯(cuò)誤允許其重復(fù)調(diào)用初始化函數(shù)(具體攻擊原理可點(diǎn)擊文末官方報(bào)告鏈接查看)。黑客成功竊取18564497枚AUDIO代幣后,Audius平臺(tái)在幾分鐘內(nèi)做出了回應(yīng),迅速凍結(jié)了幾項(xiàng)服務(wù)以防止代幣進(jìn)一步被盜,直到開發(fā)人員完成修復(fù)程序的部署。

隨后,攻擊者為脫手贓物,以損失其價(jià)值的5/6為代價(jià),在Uniswap上以107萬美元的價(jià)格交易了所有盜取的AUDIO代幣,然后通過Tornado Cash混幣服務(wù)隱藏了被盜資金的蹤跡。

Audius官方表示:“雖然Audius的合約系統(tǒng)在2020年8月和2021年10月已從兩個(gè)不同的審計(jì)師那里進(jìn)行了兩次深入的安全評(píng)估,但都沒有發(fā)現(xiàn)在這次事件中被利用的漏洞。從合約部署起,這個(gè)漏洞就一直存在于野外。對于Audius和其他基于區(qū)塊鏈的項(xiàng)目來說,這是一個(gè)教訓(xùn),說明審計(jì)并不總是能找到所有可利用的錯(cuò)誤?!?

與其他類似事件相比較,Audius這次還算是幸運(yùn)的。黑客發(fā)起網(wǎng)絡(luò)攻擊時(shí),Audius大多數(shù)團(tuán)隊(duì)成員都處于清醒狀態(tài)并且能夠迅速做出反應(yīng),從而防止了更嚴(yán)重的損失。

Audius官方關(guān)于此事件的詳細(xì)報(bào)告:https://blog.audius.co/article/audius-governance-takeover-post-mortem-7-23-22


 
 

上一篇:2022年7月27日聚銘安全速遞

下一篇:向間諜軟件開戰(zhàn)!美國國會(huì)計(jì)劃立法實(shí)施制裁