Yazarlar

Piyasalar

Şirketler

Teknoloji

Öğren

Politika

DeFi

TV&Video

Podcast

Etkinlikler

Sponsorlu İçerik

Consensus Magazine

E-Bülten

Teknoloji

Merkeziyetsiz Müzik Projesi Audius'tan Yaklaşık 1,1 Milyon Dolar Değerinde Token Çalındı

Güvenlik ihlali, saldırganların akıllı sözleşmelerden yararlanarak kötü niyetli bir yönetim önerisini oylatması ile gerçekleşti.

25 Temmuz 2022 16:24

Güncellenme: 25 Temmuz 2022 17:49

Projenin yönetişim forumlarını da içeren karmaşık bir saldırı ile, Audis’ten hafta sonu boyunca yaklaşık 1,1 milyon dolar değerinde AUDIO tokeni çalındı.


Tokenize müzik yayını projesi Audius, gelecekteki kararlarını topluluk oylaması ve yönetişim ile alıyor. 23 Temmuz'da saldırganlar forumda sahte bir gönderi oluşturarak token oylarını manipüle etti. Kötü niyetli bir teklif ile tokenlerin çalındığı görüldü.





Saldırganlar başlangıçta, 10 trilyon AUDIO'yu stake sözleşmesinde dahili olarak (hiçbir token arz değişikliği olmadan)  devreden ‘Teklif #84’ü yayımladılar. Bu işlem, teklife oy verilmediği için başarısız oldu.


Saldırganlar daha sonra bir yönetişim oylamasında 18 milyon AUDIO tokeninin transferini talep eden “Teklif #85”i yayımladı. Audius geliştiricileri Pazartesi günü yaptıkları incelemede, saldırganların daha sonra "initialize()'i arayabildiklerini ve kendilerini bu yönetişim sözleşmesinin tek koruyucusu olarak ayarlayabildiğini" açıkladı.


initialize() işlevi, bir akıllı bir sözleşmede ilk veri noktasını verir. Bunu bypass etme kabiliyeti, saldırganların yalnızca yönetim teklifini kontrol etmesine ve teklif geçirilirken tokenleri aktarmasına izin verdi.


85 no'lu Teklif sunulduktan sonra, oylara yaklaşık 10 trilyon AUDIO'nun devredildiği ve böylece teklifi saldırganın lehine çeviren bir işlem gerçekleştirildi. Dolaşımdaki arz etkilenmedi, ancak hatalı oylar Audius'un akıllı bağlantılarını kandırabildiği için teklif geçti. Bu da, saldırganların Audius yönetişim sözleşmesi tarafından tutulan ve “topluluk hazinesi” olarak adlandırılan 18 milyon AUDIO jetonunu kendi kontrollerindeki bir cüzdana kötü niyetli bir şekilde aktarmalarına izin verdi.


Çalınan tokenler daha sonra, 1,08 milyon dolar değerindeki 700’den fazla ether karşılığında saldırganın gizlilik takas hizmeti Tornado Cash'teki cüzdanına aktarıldı. Cüzdanın blok zinciri verileri - 0xa62c3ced6906b188a4d4a3c981b79f2aabf2107f – olarak görüntülendi.


Bu arada Audius geliştiricileri, bir açığın saldırganın initialize() işlevini geçmesine izin verdiğini söyledi. Geliştiriciler, inceleme raporuında " Ethereum ana ağındaki Audius yönetişim, bahis ve delegasyon sözleşmeleri, başlatma işlevlerinin tekrar tekrar çağrılmasına izin veren sözleşme başlatma kodundaki bir hata nedeniyle tehlikeye girdi" dedi.


Audius geliştiricileri, istismar edilen sözleşmeler dizisinin daha önce OpenZeppelin ekibi tarafından denetlendiğini, ancak güvenlik açığının o sırada yakalanmadığını bildirdi. Geliştiriciler, kalan tüm fonların güvende olduğunu ve pazartesi günü açığın kapatıldığını ekledi. 

Günün Gelişmeleri İçin E-Bültenimize Abone Olun

E-Bültenimize abone olarak onaylamış ve CoinDesk Türkiye ürün ve hizmetleri için iletişim kurulmasına izin vermiş olursunuz.


YASAL UYARI

Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.


Shaurya Malwa

Shaurya, kripto, DeFi, piyasa mikro yapıları ve protokol analizi konularına odaklanan CoinDesk Asya token ve veri ekibinin ortak lideridir. Shaurya, BTC, ETH, SOL, AVAX, SUSHI, CRV, NEAR, YFI, YFII, SHIB, DOGE, USDT, USDC, BNB, MANA, MLN, LINK, XMR, ALGO, VET, CAKE, AAVE, COMP, ROOK, TRX, SNX, RUNE, FTM, ZIL, KSM, ENJ, CKB, JOE, GHST, PERP, BTRFLY, OHM, BANANA, ROME, BURGER, SPIRIT ve ORCA dahil olmak üzere 1.000 doların üzerinde kripto para birimine sahiptir. Shaurya, Compound, Curve, SushiSwap, PancakeSwap, BurgerSwap, Orca, AnySwap, SpiritSwap, Rook Protocol, Yearn Finance, Synthetix, Harvest, Redacted Cartel, OlympusDAO, Rome, Trader Joe ve SUN'da likidite havuzlarına 1.000 dolardan fazla sağlamaktadır.

Fiyatları İncele

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Trend Haberler

1
Türkiye Kripto Yasası Meclise Sunuldu

16 Mayıs 2024 16:55

Kripto Varlık

Sosyal Meyda Trendi

Trendleri İncele

Kategoriler

Yazarlar

Piyasalar

Şirketler

E-Bülten

Politika

Teknoloji

Kripto Paralar

Hakkında

Hakkında

Kişisel Verileri Koruma Kanunu

Künye

Çerez Politikası

Reklam Verin

KVKK Başvuru Formu

İletişim

Kişisel Verileri Saklama ve İmha Politikası


Yasal Uyarı: Bu sitede yer alan yatırım bilgisi, yorum ve tavsiyeler yatırım danışmanlığı kapsamında değildir. Yatırım danışmanlığı hizmeti, yetkili kuruluşlar tarafından kişilerin risk ve getiri tercihlerini dikkate alarak, kişiye özel olarak sunulmaktadır. Bu sitede veya e-bültenlerimiz kapsamındaki sözel, yazılı ve grafiksel dahil olmak üzere tüm bilgi ve analizler; herhangi bir karara dayanak oluşturması noktasında herhangi bir teminat, garanti oluşturmamakta ve yalnızca bilgi edinilmesi amacıyla paylaşılmaktadır. Coindesk Türkiye hiçbir şekil ve surette ön onay, ihbar ve ihtara gerek olmaksızın söz konusu bilgileri değiştirebilir veyahut silebilir. Bu nedenle, sadece burada yer alan bilgilere dayanarak yatırım kararı vermeniz beklentilerinize uygun sonuçlar doğurmayabilir. Bu sitedeki yorumlardan, eksik bilgi ve/veya güncel olmama gibi konularda ortaya çıkabilecek zararlardan Coindesk Türkiye ve çalışanlarının herhangi bir sorumluluğu bulunmamaktadır.

@2022 CoinDesk