ख़बरें

ऑडियस: $6m संगीत चोरी की ऑटोप्सी से कुछ प्रमुख नोटों का पता चलता है

Published

8 months ago

July 25, 2022

Brief analysis of the $6M music heist showcases some out-of-key notes

हैक्स क्रिप्टोक्यूरेंसी डोमेन के भीतर बहुत बार होते हैं। हाल ही में, एक विकेन्द्रीकृत संगीत मंच ऑडियस को नुकसान हुआ क्योंकि उसे 18.5 मिलियन का नुकसान हुआ ऑडियो एक दुर्भावनापूर्ण हमले के बाद टोकन ($6m)।

टूटे तार

24 जुलाई को, ऑडियस कम्युनिटी ट्रेजरी ने कॉन्ट्रैक्ट इनिशियलाइज़ेशन कोड में एक कारनामे के कारण एक महत्वपूर्ण राशि खो दी, जिसने “इनिशियलाइज़” फ़ंक्शन के बार-बार आह्वान की अनुमति दी। संबंधित टीम ने इस विकास को सोशल मीडिया प्लेटफॉर्म पर साझा किया।

सभी को नमस्कार – हमारी टीम सामुदायिक खजाने से ऑडियो टोकन के अनधिकृत हस्तांतरण की रिपोर्ट से अवगत है। हम सक्रिय रूप से जांच कर रहे हैं और जैसे ही हमें और जानकारी मिलेगी हम वापस रिपोर्ट करेंगे।

अगर आप हमारी प्रतिक्रिया टीम की मदद करना चाहते हैं, तो कृपया संपर्क करें।

– ऑडियस (@AudiusProject) 24 जुलाई 2022

उक्त हमले के पीछे के गहन विश्लेषण के लिए विभिन्न एजेंसियों/फर्मों ने अपनी पोस्टमार्टम रिपोर्ट जारी करने का प्रयास किया।

एक क्रिप्टो और ब्लॉकचैन सुरक्षा विश्लेषणात्मक मंच जिसका नाम है सर्टिको उसी को उजागर करने के लिए एक सरल सिंहावलोकन जारी किया।

#समुदाय अलर्ट मैं

@ऑडियसप्रोजेक्ट कुल ~$6M मूल्य के ऑडियो टोकन के लिए उपयोग किया गया है, टोकन 705 ETH के लिए बेचे गए थे।

हमलावर ने ऑडियस गवर्नेंस अनुबंध के कॉन्फ़िगरेशन को संशोधित किया, फिर प्रस्तावित किया और 18.5M ऑडियो निकालने वाले एक दुर्भावनापूर्ण प्रस्ताव को निष्पादित किया। pic.twitter.com/djuAO1Jarv

– सर्टिफिकेट अलर्ट (@CertiKAlert) 24 जुलाई 2022

यहां, हमलावर ने ऑडियस गवर्नेंस अनुबंध के कॉन्फ़िगरेशन को संशोधित किया, फिर 18.5m ऑडियो निकालने वाले एक दुर्भावनापूर्ण प्रस्ताव को प्रस्तावित और निष्पादित किया।

टीउसने एक हमलावर को वोटिंग सिस्टम को संशोधित करने और नेटवर्क में गलत स्टेक वैल्यू सेट करने की अनुमति दी।

एर्गो, जिससे 18m . का दुर्भावनापूर्ण स्थानांतरण होता है ऑडियो उनके बटुए में ऑडियस गवर्नेंस अनुबंध (जिसे “सामुदायिक खजाना” कहा जाता है) द्वारा रखे गए टोकन।

बाद में, हमलावर एक प्रस्ताव करने में सक्षम थे, इसे पारित कर सकते थे, खुद को सभी ट्रेजरी टोकन भेज सकते थे, फिर इसे फेंक दो पर यूनिस्वैप एक लेनदेन में। विशेष रूप से, हमलावर ने 705 ETH ($1.1m) के लिए 18m ऑडियो टोकन बेचे।

ऐसा लगता है $6M in $ऑडियो ETH में केवल $1M से थोड़ा अधिक के लिए कारोबार किया गया था। https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv

– मिस्टट्रैक🕵️ (@MistTrack_io) 24 जुलाई 2022

इसके अलावा, एक अन्य फर्म, गो+ सिक्योरिटी भी साझा उक्त हमले को उजागर करने के लिए 24 जुलाई को एक संक्षिप्त विश्लेषण। एक ब्लॉग में, फर्म ने एक छोटा फ़्लोचार्ट जोड़ा जो पूर्ण आक्रमण वेक्टर पर जोर देता है।

वोट मापदंडों के साथ छेड़छाड़ -> दुर्भावनापूर्ण प्रस्ताव सबमिट करें -> वोट वजन के साथ छेड़छाड़ -> वोट -> प्रस्ताव निष्पादित करें

फर्म ने आगे एक गहन विश्लेषण जोड़ा जिसमें शामिल हैं स्क्रीनशॉट दुर्भाग्यपूर्ण घटना के उपरोक्त समय के बारे में। एक और ब्लॉकचेन अन्वेषक पेकशील्ड ऑडियस के भंडारण लेआउट विसंगतियों के लिए गलती को कम कर दिया।

इसकी समस्या @ऑडियसप्रोजेक्ट इसके प्रॉक्सी और इंपैक्ट के बीच असंगत भंडारण लेआउट में निहित है। विशेष रूप से, ऑडियस कम्युनिटी ट्रेजरी अनुबंध की टक्कर के परिणामस्वरूप प्रारंभकर्ता संशोधक को अक्षम करने की समानता होती है। प्रॉक्सीएडमिन एडर (0x..abac) यहां एक भूमिका निभाता है। pic.twitter.com/x4CqRncahp

– पेकशील्ड इंक। (@peckshield) 24 जुलाई 2022

क्षति नियंत्रण?

ऑडियस टीम ने अपडेट किया कि कमजोरियां पैच किए गए थेलेकिन जोखिम के बारे में चिंताओं के कारण टोकन ट्रांसफर और बैलेंस डिस्प्ले जैसी कई सुविधाएं सक्रिय नहीं की गई हैं।

“यह” प्रत्येक अनुबंध को एक न्यूनतम ब्लॉकिंग कॉन्ट्रैक्ट में प्रॉक्सी-अपग्रेड करके प्राप्त किया गया था जिसमें एक ही बग नहीं था। इसने टीम के स्वामित्व वाले पूर्वनिर्धारित पते पर प्रॉक्सीएडमिन नियंत्रण को हटा देने के बाद बार-बार होने वाले आह्वान को रोका।”

लेकिन क्या इससे प्रभावित टोकन को मदद मिली? असल में ऐसा नहीं है। जैसा कि नीचे दिए गए ग्राफ़ में स्पष्ट है, टोकन ने CoinMarketCap पर भारी गिरावट देखी।