'Ang Mga Pag-audit ay Hindi Bulletproof': Paano Na-hack ang Audius sa halagang $6M sa Ethereum Token

Desentralisadong serbisyo sa streaming ng musika madla ay na-hack para sa higit sa $6 milyon na halaga ng AUDIO token sa katapusan ng linggo, na ninakaw ng umaatake mula sa pamamahala nito matalinong kontrata. Sa isang ulat ng postmortem inilabas noong huling bahagi ng Linggo, idinetalye ng serbisyo ang pag-atake at pagtugon—at nabanggit na ang isang hindi natuklasang bug ay pinagsamantalahan sa kabila ng mga nakaraang pag-audit sa seguridad.

Ayon sa ulat, nag-tap ang hacker ng bug sa smart contract initialization code na hinahayaan itong manipulahin ang serbisyo ng Ethereum-based na pamamahala, staking, at mga kontrata ng delegasyon. Ang matalinong kontrata ay ang code na nagpapagana sa mga desentralisadong aplikasyon (dapps) sa Web3, pagpapagana ng mga app, laro, at protocol na gumana nang walang mga sentralisadong tagapamagitan.

Dahil sa desentralisadong modelong iyon, ang Audius ay gumagamit ng Ethereum-based na ERC-20 token (AUDIO) upang paganahin ang pamamahala ng komunidad. Gayunpaman, ang modelong ito ay pinagsamantalahan noong Sabado. Sa pamamagitan ng pagsasamantala, binago ng umaatake ang istraktura ng pagboto ng Audius at dalawang beses na sinubukang italaga ang 10 trilyong AUDIO token sa kanilang wallet upang itulak ang mga panukala sa pamamahala.

Ang mga paggalaw na ito ay hindi nakaapekto sa supply ng mga AUDIO token, tanging ang sariling token staking system ng platform. Gayunpaman, pinayagan nito ang umaatake na magpasa ng panukala sa pamamahala na nagpadala sa kabuuan ng community token pool—halos 18.6 milyong AUDIO token—sa isang panlabas na Ethereum wallet. Ang mga token ay sama-samang nagkakahalaga ng halos $6.1 milyon noong panahon ng heist.

Ayon sa isang timeline ng mga kaganapan na ibinahagi ng Audius, ang koponan ng proyekto ay inalertuhan sa pag-atake mga 25 minuto pagkatapos ng paglipat ng token. Ang koponan pagkatapos ay mabilis na nagdala ng pseudonymous puting sumbrero hacker samczsun ng VC firm na Paradigm—na mayroon matagumpay na nakatulong sa pagpigil nakaraang mga pagtatangka sa pagsasamantala ng matalinong kontrata—upang tumulong sa pagtugon.

Nang mapagtanto na aktibo pa rin ang pagsasamantala, nakabuo ang team ng mga pag-aayos na nag-tap sa parehong kahinaan upang tuluyang ihinto ang paggamit nito, at ginugol ang susunod na ilang oras sa pag-deploy ng mga patch upang ihinto ang anumang karagdagang pag-atake. Gumagawa pa rin ang team ng mga pangmatagalang pag-aayos, na may mga karagdagang update na ipinangako ngayong linggo.

Sa ulat ng postmortem, tapat ang koponan ng Audius tungkol sa mga potensyal na pagkukulang o mga oversight na maaaring magpagana sa heist at/o nagpabagal sa pagtugon nito.

Halimbawa, ang koponan ay hindi aktibong nagtrabaho sa Solidity/Ethereum Virtual Machine (EVM) code nito sa loob ng halos dalawang taon. "Kinailangan ng mga tao ng oras upang makabalik sa bilis sa lahat ng bagay dito," ang isinulat ng koponan, na binanggit na ito ay mananatiling "mas in-tune sa pinakabagong estado ng sining ng dev/debugging tooling" pasulong.

Gayunpaman, ang mga Audius smart contract ay na-audit ng mga grupo ng seguridad—una ng OpenZeppelin noong Agosto 2020, na may karagdagang mga karagdagan sa kontrata na na-audit ng Kudelski noong Oktubre 2021. Gayunpaman, ang kahinaang iyon ay nanatiling bukas sa publiko sa loob ng halos dalawang taon mula noong una ang mga kontrata na-deploy noong Oktubre 2020.

"Ang mga pag-audit ay hindi bulletproof," isinulat ng koponan, na binanggit na ang oras ng isang kontrata na ginugol sa ligaw na walang mga isyu "ay maaaring makatulong sa pagbuo ng kumpiyansa, ngunit hindi nag-aalis ng mga pagkakataon para sa pagsasamantala."

Habang ang mga token ay sama-samang nagkakahalaga ng higit sa $6 milyon, ipinagpalit ng umaatake ang mga ito para sa mas mababang halaga ng Ethereum, marahil sa pagmamadali sa paglalaba ng mga pondo. Ang mga token ay ipinagpalit sa mahigit 704 Wrapped Ethereum (WETH)—mga $1.07 milyon ang halaga—sa Sabado ng gabi sa pamamagitan ng Uniswap, ang nangungunang desentralisadong palitan.

Pagkatapos, ipinadala ng attacker ang halos lahat ng ETH sa pamamagitan ng Buhawi Cash, isang serbisyo ng paghahalo na pinagsasama-sama ang mga barya mula sa maraming mga transaksyon upang gawing mas mahirap ang pagsubaybay sa landas ng mga pondo ng crypto sa isang blockchain.