Що варто знати користувачам додатка для потокового передавання музики Web3 про хак на 6 мільйонів доларів
Платформа потокового аудіо на основі блокчейну Audius на своєму досвіді зрозумів, що хакери можуть викрадати кошти спільноти, незважаючи на те, що вони були онлайн два роки та давно пройшли перевірку безпеки. Хоча користувачі та власники токенів AUDIO не постраждали, ця атака нагадує індустрії, що навіть добре перевірений проект, який існувала роками, все ще може містити приховану вразливість, яка чекає, щоб її виявив і використав розумний хакер.
Audius - це a Інтернет Web3 і блокчейн платформа потокової передачі музики з елементами соціальних мереж. Він використовує блокчейн як частину свого дизайну для забезпечення прав власності користувачів на їхній вміст і є одним із найбільших нефінансових блокчейн-додатків у галузі. Багато частин Audius побудовано на блокчейні Solana, і завдяки комісії Solana за транзакції в розмірі субпенсів, художники Audius можуть токенізувати свої працювати безкоштовно, карбуючи свій вміст як NFT. Поки Audius ще розробляється і розроблятиметься роками, художники зрештою зможуть встановити плату за трансляцію своєї роботи, і платформа обіцяє забезпечувати кращий дохід, ніж конкуренти Web2, такі як Spotify і Soundcloud. Коли ця функція буде розгорнута, творці отримуватимуть гроші в AUDIO, криптовалюті
Згідно з Музичний бізнес у всьому світі24 липня зловмисник скористався вразливістю в смарт-контракті управління спільнотою Audius (блокчейн-програма), яка дозволила йому "делегат" 10 трильйонів токенів AUDIO, фактично не володіючи ними, а потім використати делеговані токени, щоб змусити пропозицію спорожнити скарбницю спільноти в гаманець зловмисника. 18,6 мільйонів токенів AUDIO, викрадених зі скарбниці, мали ринкову капіталізацію в 6 мільйонів доларів, які зловмисник міг негайно обміняти на 1 мільйон доларів США. ETH (рідна криптовалюта Ethereum, ефір) на Uniswap і наразі перебуває в процесі відмивання через міксер Tornado Cash. Команда розробників усунула цю вразливість, і, на щастя, вона не вплинула на кошти спільноти.
Аудити безпеки не є куленепробивними
Цей інцидент демонструє, наскільки навіть добре перевірений і смарт-контракт з аудитом безпеки все ще може містити приховані вразливості, які не були помічені під час перевірок безпеки. Смарт-контракти Audius працювали два роки без жодних проблем, що створювало помилкове відчуття безпеки. Це нагадує всім про проведений час "в дикій природі" не гарантує, що код бездоганний, і що слід періодично проводити перевірки безпеки в смарт-контрактах, навіть для старого коду.
Точна природа злому сталася через незрозумілі способи, якими оновлювані смарт-контракти зберігають свої дані та взаємодіють із ними, що є загальновідомим недоліком їх використання. Ці складні конструкції можуть бути у поєднанні з управлінням DAO, надаючи спільноті можливість голосувати за нову функціональність і таким чином надаючи їм безпосередній вплив на розвиток проекту. Ось як працює платформа Audius. Однак цю функцію хакер використав, щоб протаранити свою власну пропозицію. Як тільки вони виявили помилку зберігання даних, яка дозволила їм делегувати 10 000 разів більше циркулюючих токенів AUDIO до контракт на управління, вони могли передати будь-яку пропозицію, яку хотіли, у цьому випадку відкликання всієї громади казначейство.
На щастя, цей хак не вплинув на користувачів Audius або власників токенів AUDIO/стейкерів, оскільки це була лише спільнота казначейство, яке постраждало, а ціна AUDIO отримала лише 9 відсотків удару (ймовірно, через Uniswap хакера торгівля). З тих пір команда Audius випустила патч для уразливості, і розробники з усього світу звернули увагу на те, як хакер здійснив це пограбування. Кожен новий хак, який трапляється в індустрії блокчейнів це навчальний досвід для розробників блокчейнів у всьому світі, і, на щастя, цей був не таким вже й поганим. Незважаючи на атаку, Audius все ще залишається потужною силою в майбутньому поколінні Інтернету Web3.
Джерело: Музичний бізнес у всьому світі
90-денний наречений: як змінився стиль Дженні після виходу заміж за Суміта
Про автора