去中心化音乐平台 Audius 确定了其 600 万美元被窃取的漏洞源头,并表示已对此实行了修补措施
去中心化音乐平台 Audius 发现了其系统上的一个漏洞,该漏洞允许骇客通过一个恶意的管理提案来转移价值 600 万美元的代币,该平台并补充说他们已经实行了一个修补措施来重新获得对该协议的控制权。
在事后分析中,该协议表示,其在以太坊 (ETH) 上的管理、质押和委托合约中的漏洞使得骇客能够在 7 月 23 日利用该合约的初始化代码来恶意地转移该社群财库所持有的 AUDIO 1800 万(价值 607.5 万美元)。
Audius 表示,在这组受损的合同被部署之前,区块链安全公司 OpenZeppelin 和另一家安全公司 Kudelski 分别于 2020 年 8 月 25 日及 2021 年 10 月 27 日先后地对这组合同进行了审计。
“幸运的是,Audius 团队能够开发且实行了一项修补方法,以便在攻击者造成更大破坏之前快速地重新获得对协议的控制权,” 该团队声称。
在攻击发生时,这些代币的价值是 610 万美元。然而,Etherescan 交易记录显示,攻击者在倾销了该代币且导致其价格极度下跌后,还能设法将 ETH 704.9(价值 107.3 万美元)成功地提领并逃跑。
该团队还声称,Audius 基金会、团队、社群和其他资金的“绝大多数”都仍是安全的,没有受到此事件的影响。他们说:“正在与其社群合作,就资金的损失进行可能的补救措施,我们很幸运,仍有许多补救的选项可供我们来选择。”
与此同时,周一早上 7 点 28 分,Audius 的原生代币 AUDIO 的交易价格约为 0.33 美元,一天下跌 2%,一周下跌超过 4%。
值得注意的是,Audius 并不是过去几天成为骇客攻击受害者中唯一的去中心化金融 (DeFi/ decentralized finance) 项目。
虚拟宠物游戏 Neopets 上周的晚些时候也证实,它的数据库遭受了侵犯,电子邮件帐户和密码“可能已受到影响”,他们建议用户们更改密码。
“Neopets 最近意识到其客户的数据可能已被盗。我们立即在一家主要的取证公司之协助下展开了调查。我们还在与执法部门合作,加强对我们系统和用户数据的保护,”该公司上周四在 Twitter 中写道。