Ce ar trebui să știe utilizatorii aplicației de streaming de muzică Web3 despre hack-ul de 6 milioane USD

Platformă de streaming audio bazată pe blockchain Audius a învățat la greu că hackerii pot fura fondurile comunității, în ciuda faptului că sunt online de doi ani și și-au trecut auditurile de securitate cu mult timp în urmă. În timp ce utilizatorii și deținătorii de token-uri AUDIO nu sunt afectați, acest atac reamintește industriei că chiar și un proiect bine auditat care a fost în viață de ani de zile poate încă poseda o vulnerabilitate ascunsă care așteaptă să fie descoperită și exploatată de un inteligent hacker.

Audius este un Web3 internet și blockchain platformă de streaming muzical cu elemente de social media. Utilizează blockchain ca parte a designului său pentru a asigura drepturile de proprietate ale utilizatorilor asupra conținutului lor și este una dintre cele mai mari aplicații blockchain non-financiare din industrie. Multe părți ale Audius sunt construite pe blockchain-ul Solana și, datorită taxelor de tranzacție sub-penny ale Solana, artiștii Audius își pot tokeniza lucrează gratuit creând conținutul lor ca NFT. În timp ce Audius este încă în dezvoltare și va fi de ani de zile, artiștii vor putea în cele din urmă să stabilească taxe de streaming pentru munca lor, iar platforma promite să ofere venituri mai bune decât concurenții Web2 precum Spotify și Soundcloud. Când această funcție este lansată, creatorii vor fi plătiți în AUDIO, o criptomonedă

construit pe blockchain-ul Ethereum care este utilizat în prezent pentru guvernare de către comunitatea DAO. DAO votează retragerile din trezorerie și upgrade-urile la funcționalitatea platformei, o caracteristică de care a profitat hackerul.

Conform Afaceri muzicale la nivel mondial, pe 24 iulie, un atacator a exploatat o vulnerabilitate din contractul inteligent de guvernare a comunității Audius (un program blockchain), care le-a permis să „delega„ 10 trilioane de jetoane AUDIO fără a le poseda efectiv și apoi folosiți jetoanele delegate pentru a forța o propunere de a goli trezoreria comunității în portofelul atacatorului. Cele 18,6 milioane de jetoane AUDIO care au fost furate din trezorerie aveau o capitalizare de piață de 6 milioane de dolari, pe care atacatorul a putut să o schimbe imediat cu 1 milion de dolari. ETH (criptomoneda nativă a Ethereum, eter) pe Uniswap și este în prezent în proces de spălare prin mixerul Tornado Cash. De atunci, vulnerabilitatea a fost abordată de echipa de dezvoltatori și, din fericire, nu a afectat fondurile comunității.

Auditurile de securitate nu sunt antiglonț

Acest incident demonstrează cum chiar și un bine testat și contract inteligent auditat de securitate poate conține în continuare vulnerabilități ascunse care nu au fost observate în timpul auditurilor de securitate. Contractele inteligente ale Audius sunt active de doi ani fără probleme, ceea ce a oferit un fals sentiment de securitate. Acest lucru le reamintește tuturor că timpul petrecut”în sălbăticie„ nu garantează că codul este impecabil și că auditurile de securitate ar trebui efectuate periodic în contractele inteligente, chiar și pe codul vechi.

Natura exactă a hack-ului a apărut din cauza modalităților obscure prin care contractele inteligente actualizabile stochează și interacționează cu datele lor, ceea ce este un dezavantaj binecunoscut al utilizării acestora. Aceste modele sofisticate pot fi combinate cu guvernarea DAO, oferind comunității posibilitatea de a vota noi funcționalități, oferindu-le astfel influență directă asupra evoluției proiectului. Așa funcționează platforma Audius. Cu toate acestea, această caracteristică este ceea ce hackerul a folosit pentru a-și introduce propria propunere. Odată ce au descoperit eroarea de stocare a datelor care le-a permis să delege de 10.000 de ori token-urile AUDIO circulante către contract de guvernare, au putut trece orice propunere au vrut, în acest caz, retragerea întregii comunități trezorerie.

Din fericire, acest hack nu a afectat utilizatorii Audius sau deținătorii de token-uri/stakers AUDIO, deoarece era doar comunitatea trezoreria care a fost afectată, iar prețul AUDIO a fost lovit doar de 9% (probabil din Uniswap-ul hackerului comert). Echipa Audius a emis de atunci un patch pentru vulnerabilitate, iar dezvoltatorii de pretutindeni au luat notă de modul în care hackerul a reușit acest furt. Fiecare nou hack care se întâmplă în industria blockchain este o experiență de învățare pentru dezvoltatorii blockchain de pretutindeni și, din fericire, aceasta nu a fost chiar atât de rea. În ciuda atacului, Audius încă rămâne o forță puternică în viitoarea generație Web3 a internetului.

Sursă: Afaceri muzicale la nivel mondial

Logodnic de 90 de zile: Cum s-a schimbat stilul lui Jenny de la căsătoria cu Sumit

Despre autor