As propostas em criptografia ajudam as comunidades a tomar decisões baseadas em consenso. No entanto, para a plataforma de música descentralizada Auduis, a aprovação de uma proposta de governança maliciosa resultou na transferência de tokens no valor de US$ 5,9 milhões, com o hacker levando US$ 1 milhão.
Em 24 de julho, uma proposta maliciosa (Proposta #85) solicitando a transferência de 18 milhões de tokens AUDIO internos da Audius foi aprovado por votação da comunidade. Apontado pela primeira vez no Crypto Twitter por @spreekaway, o invasor criada a proposta maliciosa em que eles foram “capazes de chamar initialize() e se definir como o único guardião do contrato de governança”.
Olá a todos – nossa equipe está ciente dos relatos de uma transferência não autorizada de tokens AUDIO do tesouro da comunidade. Estamos investigando ativamente e informaremos assim que soubermos mais.
Se você quiser ajudar nossa equipe de resposta, entre em contato.
— Audius (@AudiusProject) 24 de julho de 2022
Uma investigação adicional da Auduis confirmou a transferência não autorizada de tokens AUDIO do tesouro da empresa. Após a revelação, a Auduis interrompeu proativamente todos os contratos inteligentes da Audius e tokens AUDIO na blockchain Ethereum.
O investigador de blockchain Peckshield reduziu a falha às inconsistências de layout de armazenamento do Audius.
A questão de @AudiusProject reside no layout de armazenamento inconsistente entre seu proxy e impl. Em particular, a colisão do contrato do Tesouro da Comunidade Audius resulta em uma equivalência de desabilitação do modificador inicializador. O addr proxyAdmin (0x..abac) desempenha um papel aqui. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) 24 de julho de 2022
Embora a proposta de governança do hacker tenha drenado 18 milhões de tokens no valor de quase US$ 6 milhões do tesouro, logo foi descartado e vendido por US$ 1,08 milhão. Embora o dumping tenha resultado em derrapagem máxima, os investidores recomendaram uma recompra imediata para evitar que os investidores existentes despejem e reduzam ainda mais o preço mínimo do token.
Os investidores ainda precisam esclarecer os fundos roubados, como um investidor perguntou: “Eles hackearam o fundo comunitário, certo? O fundo da equipe é separado correto?”
Enquanto um relatório post-mortem está em andamento, a Audius ainda não respondeu ao pedido de comentário do Cointelegraph.
Relacionado: Yuga Labs alerta para ‘grupo de ameaças persistentes’ visando detentores de NFT
O criador do Bored Ape Yacht Club (BAYC), Yuga Labs, emitiu seu segundo aviso sobre um esperado “ataque coordenado” em suas contas de mídia social.
Nossa equipe de segurança tem rastreado um grupo de ameaças persistentes que tem como alvo a comunidade NFT. Acreditamos que em breve eles poderão lançar um ataque coordenado visando várias comunidades por meio de contas de mídia social comprometidas. Por favor, fique atento e fique seguro.
— Yuga Labs (@yugalabs) 18 de julho de 2022
Em junho, Gordon Goner, cofundador pseudônimo do Yuga Labs, emitiu o primeiro aviso de um possível ataque em suas contas de mídia social no Twitter. Logo após o aviso, os funcionários do Twitter monitoraram ativamente as contas e fortaleceram a segurança existente.