"Auditid pole kuulikindlad": kuidas Audiust häkiti 6 miljoni dollari eest Ethereumi žetoonides

Detsentraliseeritud muusika voogesituse teenus audius häkiti rohkem kui 6 miljoni dollari väärtuses AUDIO-le märkide nädalavahetusel, mille ründaja selle valitsemisest varastas arukas leping. Sees surmajärgne aruanne Pühapäeva hilisõhtul avaldatud teenus kirjeldas rünnakut ja reageerimist üksikasjalikult ning märkis, et vaatamata varasematele turvaaudititele kasutati ära avastamata viga.

Aruande kohaselt puudutas häkker nutika lepingu lähtekoodis viga, mis võimaldas tal manipuleerida teenusega Ethereum-põhised juhtimis-, panustamis- ja delegeerimislepingud. Nutikas leping on kood, mis toidab detsentraliseeritud rakendusi (dapps) sisse Web3, mis võimaldab rakendustel, mängudel ja protokollidel töötada ilma tsentraliseeritud vahendajateta.

Arvestades seda detsentraliseeritud mudelit, kasutab Audius Ethereumil põhinevat ERC-20 märkide (AUDIO), et võimaldada kogukonna juhtimist. Seda mudelit kasutati aga laupäeval lõpuks ära. Ärakasutamise kaudu muutis ründaja Audiuse hääletusstruktuuri ja üritas kaks korda delegeerida nendele 10 triljonit AUDIO märki. rahakott juhtimise ettepanekud läbi suruda.

Need käigud ei mõjutanud AUDIO žetoonide pakkumist, vaid ainult platvormi enda žetoonide panustamise süsteemi. Siiski võimaldas see ründajal edastada juhtimisettepaneku, mis saatis kogu kogukonna märgifondi –ligi 18.6 miljonit AUDIO-märki- välisele Ethereumile rahakott. Tokenite koguväärtus oli varguse ajal ligi 6.1 miljonit dollarit.

Audiuse jagatud sündmuste ajaskaala kohaselt teavitati projektimeeskonda rünnakust umbes 25 minutit pärast märgi ülekandmist. Seejärel võttis meeskond kiiresti kasutusele pseudonüümi valge mütsi häkker samczsun riskikapitalifirma Paradigm – kellel on aitas edukalt nurjata varasemad nutika lepingu ärakasutamise katsed – reageerimisel abistamiseks.

Saades aru, et ärakasutamine oli endiselt aktiivne, töötas meeskond välja parandused, mis puudutasid sama haavatavust, et lõpuks selle kasutamine peatada, ja kulutas järgmised mitu tundi paikade juurutamisel, et peatada edasised rünnakud. Meeskond arendab endiselt pikemaajalisi parandusi, sel nädalal lubatakse täiendavaid värskendusi.

Surmajärgses aruandes oli Audiuse meeskond avameelne võimalike puuduste või möödalaskmiste osas, mis võisid varguse võimaldada ja/või reageerimist aeglustada.

Näiteks ei olnud meeskond oma Solidity/Ethereumi virtuaalmasina (EVM) koodiga aktiivselt töötanud peaaegu kaks aastat. "Inimestel kulus aega, et kõigi siinsete asjadega uuesti kursis olla," kirjutas meeskond, märkides, et edaspidi püsib see "arendus-/silumistööriistade uusima tasemega paremini kursis".

Audiuse nutikaid lepinguid olid aga auditeerinud turvarühmad – esmalt OpenZeppelin 2020. aasta augustis ja Kudelski auditeeris täiendavaid lepingulisandeid 2021. aasta oktoobris. Sellest hoolimata jäi see haavatavus avalikkusele avatuks peaaegu kaks aastat alates lepingute esmakordsest sõlmimisest. kasutusele 2020. aasta oktoobris.

"Auditid ei ole kuulikindlad," kirjutas meeskond, märkides, et lepinguga looduses veedetud aeg probleemideta "võib aidata suurendada usaldust, kuid ei välista ärakasutamise võimalusi."

Kuigi žetoonide väärtus oli kokku üle 6 miljoni dollari, vahetas ründaja need palju madalama väärtusega Ethereumi vastu, võib-olla kiirustades raha pesema. Märkidega kaubeldi veidi üle 704 Wrapped Ethereumi (WETH) eest – umbes 1.07 miljoni dollari väärtuses.laupäeva õhtul kaudu Lahutage, juhtiv detsentraliseeritud vahetus.

Seejärel saatis ründaja peaaegu kogu ETH läbi Tornaado sularaha, segamisteenus, mis kombineerib mitmest tehingust saadud münte, et muuta plokiahelas krüptorahade tee jälgimine keerulisemaks.