Spotify’ın rakibi olan Web3 müzik platformu Audius, bir bilgisayar korsanına 1 milyon doların üzerinde AUDIO coin kaptırdı. Müzik platformundan kötü niyetli bir yönetim teklifi oy birliği ile kabul edildi.
Şok etkisi yaratan saldırının ardından AUDIO coin fiyatında %10’un üzerinde değer kaybı görüldü.
6 Milyon AUDIO Coin Çalındı
Kripto para projelerinde gerçekleştirilen oylamalar, toplulukların fikir birliğine dayalı kararlar almasına yardımcı oluyor. Öte yandan, merkeziyetsiz bir müzik platformu olan Audius’in son topluluk oylaması facia ile sonuçlandı. Kötü niyetli bir önerinin kabul edilmesi sonucunda, bilgisayar korsanları 6,1 milyon dolarlık AUDIO coin transferi gerçekleştirdi. Saldırının ardından korsanların cebine 1 milyon doların üzerinde para girdiği görüldü.
Sponsored
Korsanlar tarafından suistimal edilen 24 Temmuz tarihli oylamada, 18 milyon AUDIO coinin (Teklif 85) şirket içi transferi talep edilmişti. Kötü niyetli teklifin, topluluk oylamasıyla onaylanmasının ardından transferlerin gerçekleştiği görüldü. Öte yandan Audius CEO’su Roneil Rumburg, topluluk tarafaından kötü niyetli bir teklifin kabul edilmediğini ifade etti:
“Bu bir istismardı. Önerilen veya herhangi bir meşru yoldan geçen bir teklif değil. Saldırı için giriş noktası olarak yönetim sistemini kullanıldı.”
Audius CEO’su Roneil Rumburg
Ağ Durduruldu
Bilgisayar korsanlarının saldırısının ardından Audius, Ethereum blok zincirinde bulunan tüm Audius akıllı sözleşmelerini ve AUDIO coin transferlerini askıya aldı. Korsanlar tarafından istismar edilen topluluk oylamasının ardından çalınan coinlerin kısa süre içerisinde 1.08 milyon dolara satıldığı görüldü.
Audius oylamasının nasıl istismar edildiğine dair sorulara henüz net bir cevap bulunamazken blok zinciri güvenlik analiz şirketi PeckShield konu ile ilgili bir açıklama yayımladı. Şirket, proxy ve impl arasında tutarsızlık görüldüğünü ve bunun sistemi istismara açık hale getirdiğini bildirdi:
“Problem, proxy ve impl arasındaki tutarsız depolama düzeninde yatıyor. Özellikle, Audius Community Hazine sözleşmesinin çakışması, başlatıcı değiştiriciyi devre dışı bırakma eşdeğeri ile sonuçlandı. Yani proxyAdmin adresi (0x..abac) burada bir rol oynar.”
Gelen açıklamaların ardından bilgisayar korsanlarının, “yürütme gecikmesi”, “oylama süresi” ve “koruyucu süre” gibi yönetim sözleşmesi yapılarını değiştirdiği anlaşılıyor. Bu haber yazılırken Audius Twitter hesabından en son durum bilgilendirmesini gerçekleştirdi. Paylaşılan tweet, ağın yerel tokeninin yeniden aktif hale getirildiğini haber verdi:
“AUDIO coin bir kez daha tamamen işlevseldir . Güvenlik açığının kapsamlı bir şekilde incelenmesi/azaltılmasının ardından kalan akıllı sözleşme işlevselliğinin duraklatılması kaldırılıyor. Hepinize sabrınız ve anlayışınız için teşekkür ederiz. Tam otopsi muhtemelen yarın gelecek.”
