ख़बरें
ऑडियस: $6m संगीत चोरी की ऑटोप्सी से कुछ प्रमुख नोटों का पता चलता है

हैक्स क्रिप्टोक्यूरेंसी डोमेन के भीतर बहुत बार होते हैं। हाल ही में, एक विकेन्द्रीकृत संगीत मंच ऑडियस को नुकसान हुआ क्योंकि उसे 18.5 मिलियन का नुकसान हुआ ऑडियो एक दुर्भावनापूर्ण हमले के बाद टोकन ($6m)।
टूटे तार
24 जुलाई को, ऑडियस कम्युनिटी ट्रेजरी ने कॉन्ट्रैक्ट इनिशियलाइज़ेशन कोड में एक कारनामे के कारण एक महत्वपूर्ण राशि खो दी, जिसने “इनिशियलाइज़” फ़ंक्शन के बार-बार आह्वान की अनुमति दी। संबंधित टीम ने इस विकास को सोशल मीडिया प्लेटफॉर्म पर साझा किया।
सभी को नमस्कार – हमारी टीम सामुदायिक खजाने से ऑडियो टोकन के अनधिकृत हस्तांतरण की रिपोर्ट से अवगत है। हम सक्रिय रूप से जांच कर रहे हैं और जैसे ही हमें और जानकारी मिलेगी हम वापस रिपोर्ट करेंगे।
अगर आप हमारी प्रतिक्रिया टीम की मदद करना चाहते हैं, तो कृपया संपर्क करें।
– ऑडियस (@AudiusProject) 24 जुलाई 2022
उक्त हमले के पीछे के गहन विश्लेषण के लिए विभिन्न एजेंसियों/फर्मों ने अपनी पोस्टमार्टम रिपोर्ट जारी करने का प्रयास किया।
एक क्रिप्टो और ब्लॉकचैन सुरक्षा विश्लेषणात्मक मंच जिसका नाम है सर्टिको उसी को उजागर करने के लिए एक सरल सिंहावलोकन जारी किया।
#समुदाय अलर्ट मैं
@ऑडियसप्रोजेक्ट कुल ~$6M मूल्य के ऑडियो टोकन के लिए उपयोग किया गया है, टोकन 705 ETH के लिए बेचे गए थे।
हमलावर ने ऑडियस गवर्नेंस अनुबंध के कॉन्फ़िगरेशन को संशोधित किया, फिर प्रस्तावित किया और 18.5M ऑडियो निकालने वाले एक दुर्भावनापूर्ण प्रस्ताव को निष्पादित किया। pic.twitter.com/djuAO1Jarv
– सर्टिफिकेट अलर्ट (@CertiKAlert) 24 जुलाई 2022
यहां, हमलावर ने ऑडियस गवर्नेंस अनुबंध के कॉन्फ़िगरेशन को संशोधित किया, फिर 18.5m ऑडियो निकालने वाले एक दुर्भावनापूर्ण प्रस्ताव को प्रस्तावित और निष्पादित किया।
टीउसने एक हमलावर को वोटिंग सिस्टम को संशोधित करने और नेटवर्क में गलत स्टेक वैल्यू सेट करने की अनुमति दी।
एर्गो, जिससे 18m . का दुर्भावनापूर्ण स्थानांतरण होता है ऑडियो उनके बटुए में ऑडियस गवर्नेंस अनुबंध (जिसे “सामुदायिक खजाना” कहा जाता है) द्वारा रखे गए टोकन।
बाद में, हमलावर एक प्रस्ताव करने में सक्षम थे, इसे पारित कर सकते थे, खुद को सभी ट्रेजरी टोकन भेज सकते थे, फिर इसे फेंक दो पर यूनिस्वैप एक लेनदेन में। विशेष रूप से, हमलावर ने 705 ETH ($1.1m) के लिए 18m ऑडियो टोकन बेचे।
ऐसा लगता है $6M in $ऑडियो ETH में केवल $1M से थोड़ा अधिक के लिए कारोबार किया गया था। https://t.co/eAQDvBoTJ6 pic.twitter.com/gRf4yw3Qdv
– मिस्टट्रैक🕵️ (@MistTrack_io) 24 जुलाई 2022
इसके अलावा, एक अन्य फर्म, गो+ सिक्योरिटी भी साझा उक्त हमले को उजागर करने के लिए 24 जुलाई को एक संक्षिप्त विश्लेषण। एक ब्लॉग में, फर्म ने एक छोटा फ़्लोचार्ट जोड़ा जो पूर्ण आक्रमण वेक्टर पर जोर देता है।
वोट मापदंडों के साथ छेड़छाड़ -> दुर्भावनापूर्ण प्रस्ताव सबमिट करें -> वोट वजन के साथ छेड़छाड़ -> वोट -> प्रस्ताव निष्पादित करें
फर्म ने आगे एक गहन विश्लेषण जोड़ा जिसमें शामिल हैं स्क्रीनशॉट दुर्भाग्यपूर्ण घटना के उपरोक्त समय के बारे में। एक और ब्लॉकचेन अन्वेषक पेकशील्ड ऑडियस के भंडारण लेआउट विसंगतियों के लिए गलती को कम कर दिया।
इसकी समस्या @ऑडियसप्रोजेक्ट इसके प्रॉक्सी और इंपैक्ट के बीच असंगत भंडारण लेआउट में निहित है। विशेष रूप से, ऑडियस कम्युनिटी ट्रेजरी अनुबंध की टक्कर के परिणामस्वरूप प्रारंभकर्ता संशोधक को अक्षम करने की समानता होती है। प्रॉक्सीएडमिन एडर (0x..abac) यहां एक भूमिका निभाता है। pic.twitter.com/x4CqRncahp
– पेकशील्ड इंक। (@peckshield) 24 जुलाई 2022
क्षति नियंत्रण?
ऑडियस टीम ने अपडेट किया कि कमजोरियां पैच किए गए थेलेकिन जोखिम के बारे में चिंताओं के कारण टोकन ट्रांसफर और बैलेंस डिस्प्ले जैसी कई सुविधाएं सक्रिय नहीं की गई हैं।
“यह” प्रत्येक अनुबंध को एक न्यूनतम ब्लॉकिंग कॉन्ट्रैक्ट में प्रॉक्सी-अपग्रेड करके प्राप्त किया गया था जिसमें एक ही बग नहीं था। इसने टीम के स्वामित्व वाले पूर्वनिर्धारित पते पर प्रॉक्सीएडमिन नियंत्रण को हटा देने के बाद बार-बार होने वाले आह्वान को रोका।”
लेकिन क्या इससे प्रभावित टोकन को मदद मिली? असल में ऐसा नहीं है। जैसा कि नीचे दिए गए ग्राफ़ में स्पष्ट है, टोकन ने CoinMarketCap पर भारी गिरावट देखी।
लेखन के समय, टोकन (ऑडियो) को 2% का एक नया सुधार का सामना करना पड़ा क्योंकि यह $ 0.33 के निशान से नीचे गिर गया।