Las propuestas en cripto ayudan a las comunidades a tomar decisiones basadas en el consenso. Sin embargo, para la plataforma de música descentralizada Auduis, la aprobación de una propuesta de gobernanza maliciosa resultó en la transferencia de tokens por valor de $ 5,9 millones, y el pirata informático se llevó $ 1 millón.
El 24 de julio, una propuesta maliciosa (Propuesta #85) solicitando la transferencia de 18 millones de tokens AUDIO internos de Audius fue aprobado por votación de la comunidad. Señalado por primera vez en Crypto Twitter por @spreekaway, el atacante creado la propuesta maliciosa en la que pudieron “llamar a initialize() y establecerse como el único guardián del contrato de gobierno”.
Hola a todos: nuestro equipo está al tanto de los informes de una transferencia no autorizada de tokens de AUDIO de la tesorería de la comunidad. Estamos investigando activamente e informaremos tan pronto como sepamos más.
Si desea ayudar a nuestro equipo de respuesta, comuníquese con nosotros.
— Audius (@AudiusProject) 24 de julio de 2022
Una investigación adicional de Auduis confirmó la transferencia no autorizada de tokens AUDIO de la tesorería de la empresa. Tras la revelación, Auduis detuvo de forma proactiva todos los contratos inteligentes de Audius y los tokens de AUDIO en la cadena de bloques de Ethereum.
El investigador de blockchain, Peckshield, redujo la falla a las inconsistencias en el diseño de almacenamiento de Audius.
El problema de @AudiusProyecto se encuentra en un diseño de almacenamiento inconsistente entre su proxy e impl. En particular, la colisión del contrato del Tesoro Comunitario de Audius da como resultado una equivalencia de deshabilitar el modificador del inicializador. La dirección proxyAdmin (0x..abac) juega un papel aquí. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) 24 de julio de 2022
Si bien la propuesta de gobierno del pirata informático drenó 18 millones de tokens por valor de casi $ 6 millones del tesoro, pronto se deshizo y se vendió por $ 1,08 millones. Si bien el dumping resultó en un deslizamiento máximo, los inversores recomendaron una recompra inmediata para evitar que los inversores existentes se deshagan y reduzcan aún más el precio mínimo del token.
Los inversionistas aún no tienen claridad sobre los fondos robados, ya que un inversionista preguntó: “Hackearon el fondo comunitario, ¿verdad? El fondo del equipo está separado, ¿correcto?
Si bien se está realizando un informe post mortem, Audius aún no ha respondido a la solicitud de comentarios de Cointelegraph.
Relacionado: Yuga Labs advierte sobre un ‘grupo de amenaza persistente’ dirigido a los titulares de NFT
El creador de Bored Ape Yacht Club (BAYC), Yuga Labs, emitió su segunda advertencia sobre un “ataque coordinado” esperado en sus cuentas de redes sociales.
Nuestro equipo de seguridad ha estado rastreando un grupo de amenazas persistentes que se dirige a la comunidad NFT. Creemos que es posible que pronto estén lanzando un ataque coordinado dirigido a múltiples comunidades a través de cuentas de redes sociales comprometidas. Por favor, esté atento y manténgase a salvo.
— Laboratorios Yuga (@yugalabs) 18 de julio de 2022
En junio, Gordon Goner, cofundador seudónimo de Yuga Labs, emitió la primera advertencia de un posible ataque entrante en sus cuentas de redes sociales de Twitter. Poco después de la advertencia, los funcionarios de Twitter monitorearon activamente las cuentas y fortalecieron la seguridad existente.