Поділитися цією статтею
Як зловмисники вкрали токени на суму близько 1,1 мільйона доларів із децентралізованого музичного проекту Audius
Складний експлойт включав зловмисників, які передавали зловмисну пропозицію щодо управління, використовуючи смарт-контракти.
Автор Shaurya Malwa
Токени Audius AUDIO на суму близько 1,1 мільйона доларів були викрадені минулих вихідних під час складної атаки, яка включала форуми управління проектом.
Audius, потоковий музичний проект із токенізацією, покладається на голосування спільноти та управління для прийняття рішень. У суботу через зловмисну пропозицію зловмисники розмістили фальшивий пост і маніпулювали жетонними голосами, щоб вкрасти кошти.
Продовження Нижче
Не пропустіть жодної історії.Підпишіться на розсилку The Protocol вже сьогодні. Переглянути всі розсилки
Спочатку зловмисники висунули «Пропозицію № 84», згідно з якою 10 трильйонів AUDIO було делеговано внутрішньо для контракту на ставку (без змін у постачанні токенів). Цю трансакцію не вдалося, оскільки за пропозицію не було подано жодного голосу.
Потім зловмисники висунули «Пропозицію №85», яка вимагала передачі 18 мільйонів токенів AUDIO під час голосування за управління. Тоді зловмисники «змогли викликати initialize() і встановити себе єдиним опікуном» цього контракту про управління, пояснили розробники Audius у звіті про розслідування в понеділок.
Функція initialize() надає програмі початкову точку даних у смарт-контракті. Це дозволило зловмиснику контролювати пропозицію управління виключно та передавати маркери, коли пропозиція була прийнята.
Після висунення пропозиції №85 було здійснено транзакцію, яка делегувала 10 трильйонів AUDIO для голосування, таким чином перекручуючи пропозицію на користь зловмисника. Постачання в обігу не вплинуло, але пропозиція була прийнята, оскільки помилкові голоси змогли обдурити розумні контакти Audius. Це дозволило зловмисникам зловмисно перевести 18 мільйонів токенів AUDIO , які зберігаються за контрактом на управління Audius , який називають «скарбницею спільноти», на контрольований гаманець».
Потім викрадені токени були обміняні на понад 700 ефірів , вартістю близько 1,08 мільйона доларів на момент написання статті, у службі обміну Політика конфіденційності Tornado Cash, показують дані блокчейну гаманця зловмисника –0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f.
Тим часом розробники Audius заявили, що помилка дозволила зловмиснику передати функцію initialize(). «Контракти Audius щодо управління, ставок і делегування в основній мережі Ethereum », — пояснили розробники в посмертному звіті.
«[Ці] були скомпрометовані через помилку в коді ініціалізації контракту, яка дозволяла повторювати виклики функцій ініціалізації», — додали вони.
Команда OpenZeppelin раніше перевірила набір використаних контрактів, але на той час уразливість T була виявлена, повідомили розробники Audius . Усі кошти, що залишилися, у безпеці, і станом на понеділок було запроваджено виправлення.
More For You
What to know:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Coinbase розширює масштаб інструменту платежів на базі стейблкоїн-агента зі штучним інтелектом
Оновлений протокол, x402 V2, дозволяє розробникам поєднувати платежі, забезпечувати безпечний доступ до гаманця та додавати нові функції завдяки чистому, модульному дизайну.
What to know:
- Coinbase випустила останню версію свого протоколу платежів на основі стейблкоїнів для AI-агентів, що спрощує розширення та інтеграцію автономної платіжної системи.
- Нова версія додає ідентифікацію на основі гаманця, автоматичне виявлення API, динамічних отримувачів платежів та підтримку більшої кількості блокчейнів і фіатних валют.
Головне
