'Revizije niso neprebojne': kako je bil Audius vdrl za 6 milijonov $ v žetonih Ethereum

Decentralizirana storitev pretakanja glasbe audius je bil vdrl za več kot 6 milijonov dolarjev vreden AVDIO žetonih čez vikend, ki ga je napadalec ukradel iz njenega upravljanja pametna pogodba. V obdukcija izdanem pozno v nedeljo, je storitev podrobno opisala napad in odziv – in ugotovila, da je bila kljub preteklim varnostnim revizijam izkoriščena neodkrita napaka.

Glede na poročilo se je heker dotaknil hrošča v inicializacijski kodi pametne pogodbe, ki mu je omogočila manipulacijo storitve Ethereumpogodbe na podlagi upravljanja, deležev in delegiranja. Pametna pogodba je koda, ki poganja decentralizirane aplikacije (dapps) v Web3, ki aplikacijam, igram in protokolom omogoča delovanje brez centraliziranih posrednikov.

Glede na ta decentraliziran model Audius uporablja ERC-20, ki temelji na Ethereumu žetonih (AVDIO) za omogočanje upravljanja skupnosti. Vendar je bil ta model v soboto končno izkoriščen. Z izkoriščanjem je napadalec spremenil glasovalno strukturo Audiusa in dvakrat poskušal prenesti 10 bilijonov AUDIO žetonov na svoje denarnica za spodbujanje predlogov upravljanja.

Te poteze niso vplivale na ponudbo žetonov AUDIO, temveč le na lastni sistem vlaganja žetonov platforme. Vendar pa je napadalcu omogočil, da posreduje predlog upravljanja, ki je poslal celotno skupino žetonov skupnosti –skoraj 18.6 milijona AUDIO žetonov— v zunanji Ethereum denarnica. Žetoni so bili v času ropa skupaj vredni skoraj 6.1 milijona dolarjev.

Glede na časovnico dogodkov, ki jih deli Audius, je bila projektna skupina o napadu obveščena približno 25 minut po prenosu žetona. Ekipa je nato hitro pridobila psevdonim beli klobuk heker samczsun družbe VC Paradigm, ki ima uspešno pomagal preprečiti pretekli poskusi izkoriščanja pametnih pogodb – za pomoč pri odzivu.

Ko je ugotovila, da je izkoriščanje še vedno aktivno, je ekipa razvila popravke, ki so izkoristili isto ranljivost, da bi na koncu zaustavili njeno uporabo, in porabili naslednjih nekaj ur za nameščanje popravkov za zaustavitev morebitnih nadaljnjih napadov. Ekipa še vedno razvija dolgoročnejše popravke, nadaljnje posodobitve pa so obljubljene ta teden.

V obdukcijskem poročilu je ekipa Audiusa odkrito povedala o morebitnih pomanjkljivostih ali spregledih, ki bi lahko omogočili rop in/ali upočasnili njegov odziv.

Na primer, ekipa skoraj dve leti ni aktivno delala na kodi Solidity/Ethereum Virtual Machine (EVM). »Ljudje so potrebovali nekaj časa, da so se spet seznanili z vsemi stvarmi tukaj,« je zapisala ekipa in opozorila, da bo v prihodnje ostala »bolj usklajena z najnovejšim stanjem umetnosti orodij za razvijanje/odpravljanje napak«.

Vendar pa so varnostne skupine revidirale pametne pogodbe Audius – najprej OpenZeppelin avgusta 2020, dodatne pogodbene dodatke pa je revidiral Kudelski oktobra 2021. Kljub temu je bila ta ranljivost v javnosti odprta skoraj dve leti od prve pogodbe. razporejen oktobra 2020.

"Revizije niso neprebojne," je zapisala ekipa in opozorila, da čas pogodbe, preživet v naravi brez težav, "lahko pomaga zgraditi zaupanje, vendar ne izključuje priložnosti za izkoriščanje."

Čeprav so bili žetoni skupno ocenjeni na več kot 6 milijonov dolarjev, jih je napadalec zamenjal za veliko nižjo vrednost Ethereuma, morda v naglici, da bi opral sredstva. Z žetoni se je trgovalo za nekaj več kot 704 Wrapped Ethereum (WETH) – v vrednosti približno 1.07 milijona USD –v soboto zvečer preko Odklopite, vodilni decentralizirana izmenjava.

Nato je napadalec poslal skoraj ves ETH TornadoCash, storitev mešanja, ki združuje kovance iz več transakcij, da je težje slediti poti kripto sredstev v verigi blokov.