Web3 Music Streaming App Kullanıcılarının 6 Milyon Dolarlık Hack Hakkında Bilmesi Gerekenler

July 28, 2022
İçindeTeknoloji Kripto Para

click fraud protection

Blockchain tabanlı ses akışı platformu Audius iki yıldır çevrimiçi olmasına ve güvenlik denetimlerini uzun zaman önce geçmesine rağmen bilgisayar korsanlarının topluluk fonlarını çalabileceğini zor yoldan öğrendi. Kullanıcılar ve AUDIO token sahipleri etkilenmezken, bu saldırı sektöre iyi denetlenmiş bir projenin bile yıllardır canlı olan bir bilgisayar, akıllı bir kişi tarafından keşfedilmeyi ve sömürülmeyi bekleyen sinsi bir güvenlik açığına sahip olabilir. bilgisayar korsanı.

Audius'un bir Web3 internet ve blok zinciri sosyal medya unsurları ile müzik akışı platformu. Kullanıcıların içerikleri üzerindeki mülkiyet haklarını güvence altına almak için tasarımının bir parçası olarak blok zinciri kullanır ve sektördeki en büyük finansal olmayan blok zinciri uygulamalarından biridir. Audius'un birçok parçası Solana blok zinciri üzerine inşa edilmiştir ve Solana'nın alt kuruş işlem ücretleri nedeniyle, Audius sanatçıları içeriklerini NFT olarak basarak ücretsiz çalışın. Audius hala geliştirme aşamasındayken ve yıllarca sürecek olsa da, sanatçılar sonunda platform, Spotify ve Soundcloud gibi Web2 rakiplerinden daha iyi gelir sağlamayı vaat ediyor. Bu özellik kullanıma sunulduğunda, içerik oluşturuculara bir kripto para birimi olan AUDIO ile ödeme yapılacaktır.

Ethereum blok zinciri üzerine inşa edilmiş şu anda topluluk DAO tarafından yönetişim için kullanılmaktadır. DAO, hazineden para çekme işlemlerine oy veriyor ve hacker'ın yararlandığı bir özellik olan platformun işlevselliğini yükseltiyor.

Göre Dünya Çapında Müzik İşi24 Temmuz'da bir saldırgan, Audius'un topluluk yönetişimi akıllı sözleşmesindeki (bir blok zinciri programı) bir güvenlik açığından yararlandı ve bu, "temsilci10 trilyon AUDIO jetonunu gerçekte sahip olmadan ve ardından topluluk hazinesini saldırganın cüzdanına boşaltmak için bir teklif yoluyla zorlamak için devredilen jetonları kullanın. Hazineden çalınan 18,6 milyon SES jetonunun piyasa değeri 6 milyon dolardı ve saldırgan bunu anında 1 milyon dolar ile takas edebildi. ETH (Ethereum'un yerel kripto para birimi, ether) Uniswap'ta ve şu anda Tornado Cash mikseri aracılığıyla aklama sürecinde. Güvenlik açığı o zamandan beri geliştirici ekibi tarafından ele alındı ve neyse ki topluluk fonlarını etkilemedi.

Güvenlik Denetimleri Kurşun Geçirmez Değildir

Bu olay bile ne kadar iyi test edilmiş ve güvenlik denetimli akıllı sözleşme yine de güvenlik denetimleri sırasında fark edilmeyen gizli güvenlik açıkları içerebilir. Audius'un akıllı sözleşmeleri iki yıldır sorunsuz bir şekilde yayında ve bu da yanlış bir güvenlik duygusu sağladı. Bu herkese harcanan zamanı hatırlatıyor "vahşi doğada" kodun kusursuz olduğunu ve akıllı sözleşmelerde, hatta eski kodlarda bile periyodik olarak güvenlik denetimlerinin yapılması gerektiğini garanti etmez.

Saldırının kesin doğası, yükseltilebilir akıllı sözleşmelerin verilerini saklama ve bunlarla etkileşime girme yollarının belirsiz olması nedeniyle meydana geldi; bu, bunları kullanmanın iyi bilinen bir dezavantajı. Bu sofistike tasarımlar olabilir DAO yönetişimi ile birlikte, topluluğa yeni işlevsellik üzerinde oy verme yeteneği sağlamak ve böylece onlara projenin evrimi üzerinde doğrudan etki sağlamak. Audius platformu böyle çalışır. Ancak bu özellik, bilgisayar korsanının kendi tekliflerini zorlamak için kullandığı özelliktir. Bir kez, dolaşımdaki AUDIO belirteçlerini 10.000 kez devretmelerine izin veren veri depolama hatasını keşfettiler. yönetişim sözleşmesi, istedikleri herhangi bir teklifi geçirebildiler, bu durumda tüm topluluğun geri çekilmesi hazine.

Neyse ki, bu hack Audius kullanıcılarını veya AUDIO token sahiplerini/stake'lerini etkilemedi, çünkü sadece topluluktaydı. etkilenen hazine ve AUDIO'nun fiyatı yalnızca yüzde 9'luk bir isabet aldı (muhtemelen bilgisayar korsanının Uniswap'ından Ticaret). Audius ekibi o zamandan beri güvenlik açığı için bir yama yayınladı ve her yerdeki geliştiriciler, bilgisayar korsanının bu soygunu nasıl başardığını not aldı. Her yeni blockchain endüstrisinde gerçekleşen hack her yerde blockchain geliştiricileri için bir öğrenme deneyimi ve neyse ki bu o kadar da kötü değildi. Saldırıya rağmen, Audius İnternetin gelecek Web3 neslinde hala güçlü bir güç olmaya devam ediyor.

Kaynak: Dünya Çapında Müzik İşi

90 Günlük Nişanlısı: Jenny'nin Tarzı Sumit ile Evlendiğinden Bu yana Nasıl Değişti?

Yazar hakkında