Share this article
Come gli aggressori hanno rubato circa 1,1 milioni di dollari in token dal progetto musicale decentralizzato Audius
Questo sofisticato exploit prevedeva che gli aggressori diffondessero una proposta di governance dannosa sfruttando i contratti intelligenti.
Updated May 11, 2023, 6:42 p.m. Published Jul 25, 2022, 11:30 a.m.
Circa 1,1 milioni di dollari in token AUDIO di Audius sono stati rubati nel fine settimana in un attacco sofisticato che ha coinvolto i forum di governance del progetto.
Audius, un progetto di streaming musicale tokenizzato, si affida al voto della comunità e alla governance per prendere decisioni. Sabato, una proposta dannosa ha visto gli aggressori pubblicare un post falso e manipolare i voti dei token per rubare fondi.
La storia continua sotto
Inizialmente gli aggressori hanno lanciato la "Proposta n. 84", che delegava internamente 10 trilioni AUDIO al contratto di staking (senza alcuna modifica alla fornitura di token). Tale transazione è fallita perché non sono stati espressi voti sulla proposta.
Gli aggressori hanno quindi lanciato la "Proposta n. 85", che richiedeva il trasferimento di 18 milioni di token AUDIO in un voto di governance. Gli aggressori sono stati quindi "in grado di chiamare initialize() e di impostarsi come unico guardiano" di quel contratto di governance, hanno spiegato gli sviluppatori Audius in un rapporto post-mortem di lunedì.
La funzione initialize() fornisce a un programma il suo punto dati iniziale in uno smart contract. Ciò ha consentito all'attaccante di controllare esclusivamente la proposta di governance e di trasferire token man mano che la proposta veniva approvata.
Dopo che la Proposta n. 85 è stata presentata, è stata eseguita una transazione che ha delegato 10 trilioni AUDIO ai voti, distorcendo così la proposta a favore dell'attaccante. La fornitura circolante non è stata influenzata, ma la proposta è stata approvata poiché i voti errati sono stati in grado di ingannare i contatti intelligenti di Audius. Ciò ha consentito agli aggressori di trasferire in modo dannoso 18 milioni di token AUDIO detenuti dal contratto di governance Audius , denominato "tesoreria della comunità, a un portafoglio sotto il loro controllo".
I token rubati sono stati poi scambiati con oltre 700 ether , per un valore di circa 1,08 milioni di dollari al momento in cui scriviamo, sul servizio di Privacy swap Tornado Cash, come mostrano i dati blockchain del portafoglio dell'aggressore: 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.
Nel frattempo, gli sviluppatori Audius hanno affermato che un bug ha consentito all'attaccante di passare la funzione initialize(). "I contratti di governance, staking e delega Audius sulla mainnet Ethereum ", hanno spiegato gli sviluppatori nel post-mortem.
"[Questi] sono stati compromessi a causa di un bug nel codice di inizializzazione del contratto che consentiva ripetute invocazioni delle funzioni di inizializzazione", hanno aggiunto.
Il set di contratti sfruttati è stato precedentemente verificato dal team di OpenZeppelin, ma la vulnerabilità T è stata individuata al momento, hanno affermato gli sviluppatori Audius . Tutti i fondi rimanenti sono al sicuro e le correzioni sono state implementate a partire da lunedì.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Il progetto NFT Pudgy Penguins conquista la Sphere di Las Vegas con una campagna natalizia
I segmenti animati del marchio NFT saranno trasmessi su Sphere durante la settimana di Natale, segnando l’ingresso della società nel settore dei mercati consumer reali.
What to know:
- Pudgy Penguins condurrà una campagna pubblicitaria al Las Vegas Sphere durante la settimana di Natale, uno dei pochi marchi crypto a garantirsi uno spazio in questa location di alto profilo.
- Il progetto NFT, lanciato su Ethereum nel 2021, si è espanso nel settore dei giocattoli fisici e del gaming digitale come parte di una più ampia strategia rivolta ai consumatori.
- Pudgy Penguins ha superato brevemente Bored Apes nel prezzo minimo all'inizio di quest'anno e ha recentemente lanciato il suo token PENGU su Solana, ora quotato sui principali exchange.
Storie Da Non Perdere
