Audius là gì?
Quỹ dự trữ của Audius bị hacker ghé thăm
Trang Twitter của dự án Audius trong sáng nay đã đăng tải dòng tweet thông báo về vụ hack:
Hello everyone – our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
If you’d like to help our response team, please reach out.
— Audius 🎧 (@AudiusProject) July 24, 2022
“Xin chào mọi người, đội ngũ chúng tôi đã phát hiện hành vi chuyển một lượng lớn AUDIUS ra khỏi quỹ dự trữ của dự án. Chúng tôi đang xem xét và điều tra vụ việc. Nếu muốn giúp đỡ đội ngũ, vui lòng liên hệ chúng tôi.”
Thiệt hại trước mắt cho AUDIUS
Lỗ hổng trên đã làm quỹ Treasury bị bòn rút tổng cộng 18,5 triệu token AUDIUS. Với giá thị trường ở thời điểm bị tấn công (~0,36 USD), con số này trị giá xấp xỉ 6,6 triệu USD.
Rất nhanh chóng, toàn bộ lượng token này chứng kiến áp lực bán trong một giao dịch duy nhất, khi khoảng 6 triệu USD giá trị AUDIUS đã được bán thành 705 ETH (tức xấp xỉ 1 triệu USD ở tỷ giá ETH hiện tại). Mức chênh lệch này một phần đến từ thanh khoản thiếu hụt cho đồng AUDIUS.
Audius thông báo khắc phục phần lớn lỗ hổng
Hiện tại, Audius thông báo đã xử lý được vấn đề trên và tạm ngưng hợp đồng trên Ethereum nhằm tạm vá lỗ hổng trong hợp đồng quỹ.
The issue has been found and fixes are in progress to get things back to a stable state.
To prevent further damage, all Audius smart contracts on Ethereum had to be halted, including the token.
We do not believe any further funds are at risk.
More updates / post-mortem soon. https://t.co/i3MM9WjjgE
— Audius 🎧 (@AudiusProject) July 24, 2022
“Vấn đề đã được tìm ra và thao tác vá lỗi đang được tiến hành để đưa mọi thứ về tình trạng ổn định. Để phòng ngừa các rủi ro lớn hơn trong tương lai, tất cả hợp đồng thông minh của Audius trên Ethereum sẽ được tạm ngưng, bao gồm cả smart contract của token. Chúng tôi tin rằng toàn bộ tài sản sẽ không gặp rủi ro trong tương lai.”
Đội ngũ cũng vừa cập nhật thêm rằng các lỗ hổng đã được vá, song nhiều tính năng như chuyển token, hiển thị số dư vẫn chưa được kích hoạt vì lo ngại những rủi ro phát sinh.
Nhà đầu tư thắc mắc về số tiền bị hack với các ý kiến rằng:
Hacker đã lấy tiền từ quỹ cộng đồng phải không? Vậy còn số tiền của team làm dự án có tách biệt riêng với số tiền này không?
Nguyên nhân vụ hack
Đề xuất 85 (Proposal #85) trong DAO (ngày 24/7) đã yêu cầu chuyển 18 triệu token AUDIO đã được cộng đồng DAO chấp thuận. Người đầu tiên phát hiện ra vụ hack là tài khoản Twitter có tên @Spreekaway. Trong đề xuất này, hacker đã yêu cầu hắn được nắm quyền quản trị hợp đồng.
Điều tra viên blockchain Peckshield đã cho rằng sai lầm nằm ở tính không đồng nhất trong các lớp lưu trữ của Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022