區塊鏈音樂平台Audius遭駭客以惡意提案攻擊,705ETH已轉入混幣協議

Elponcho
分享
區塊鏈音樂平台Audius遭駭客以惡意提案攻擊,705ETH已轉入混幣協議

知名區塊鏈音樂平台 Audius 於 24 日早上八點於公告,發現社群財庫 (community treasury) 出現未授權的 AUDIO 代幣轉移,官方正展開調查。約兩小時後,官方表示問題修復,並正在恢復穩定狀態 ; 為了避免近一步造成傷害,將暫停以太坊所有相關智能合約,包含代幣合約。截稿前,AUDIO 代幣已恢復運行,其餘的智能合約功能會在檢驗後重新啟用 ; 事後報告會在明日才發布。

資安公司分析受害狀況:治理提案攻擊

資安公司 Certik 表示,Audius 受害金額達六百萬美金價值的 AUDIO 代幣,已換成 705 個 ETH。攻擊者變更了 Audius 治理合約的參數,並執行惡意提案,導致 1850 萬個 AUDIO 代幣遭轉出。

駭客呼叫在治理合約中的 initialize 功能已改變參數,像是投票期間、延遲執行與監護地址等 ; 接著攻擊者提交了惡意提案 ID 85。攻擊者向惡意提案投票,並執行其內容,得到了 AUDIO 代幣並脫手獲利。截稿前,駭客已將全數 ETH 轉入混幣協議 Tornado Cash。

AUDIO 代幣在 24 日七點逾由 0.36 水平一路下跌至 0.31,當前回到 0.34。

補充資料:Audius 治理運作說明Audius 治理論壇 (目前已關閉)