600万美元损失 去中心化音乐平台Audius攻击事件分析_AUD:HTT

北京时间2022年7月23日，CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击，损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置，然后提出并执行了一个恶意提案，导致Audius合约将1850万AUDIO代币转移给攻击者。

大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。

攻击步骤

①?攻击者调用Audius治理合约中的initialize()函数来修改配置，如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护，不应该被多次调用。

Uniswap V3挖矿收益平台izumi Finance超越VISOR，TVL达1700万美金:12月24日消息， 根据izumi.finance官网数据显示，在其产品LiuqidBox上线的72小时内，TVL已达到1700万美金。

据悉，LiquidBox流动性魔盒是izumi Finance推出的第一个产品，其基于Uniswap V3提供“可编程流动性即服务”（LaaS）。用户可以直接抵押Uniswap V3 LP NFT参与流动性挖矿，并且izumi平台严格采用“零托管”模式，即izumi作为挖矿平台，不会托管用户任何资金，而是直接存入Uniswap V3流动性池，使得izumi安全级别远远高于其他采用托管资金池机制（Vault）的项目。

izumi Finance已上线Bybit、Gate、MEXC、Uniswap V3等交易平台，获得Mirana、IOSG、EVG、Cadenza、FENBUSHI、Hashkey等机构的投资和支持。[2021/12/24 8:01:26]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

动态 | 日本Rizuna银行取消与瑞波支持的区块链支付合作:据Cointelegraph4月15日报道，日本主要的Rizuna银行将于5月13日退出由瑞波支持的区块链支付计划，该计划声称可立即提供本地银行间转账。Rizuna银行是日本第五大银行集团Rizona集团的子公司之一。[2019/4/15]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

日本银行业巨头Mizuho的区块链主管即将离职:根据CoinDesk获得的一份内部邮件，日本银行业巨头Mizuho金融集团的区块链主管透露将离开该公司。高级数字策略师Ikuma Ueno在致辞中表示，将于6月13日离职，并在今年晚些时候在新加坡担任新职位。[2018/6/9]

②?攻击者提交了恶意提案，该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

BTC突破11600美元关口 日内涨幅为2.21%:火币全球站数据显示，BTC短线上涨，突破11600美元关口，现报11601.6美元，日内涨幅达到2.21%，行情波动较大，请做好风险控制。[2020/8/1]

③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻击者执行了恶意提案，获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻击者售出1850万AUDIO代币，获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

漏洞分析

CertiK安全团队在调查中，试图找出攻击者是如何多次调用initialize()的。

分析后发现事件的根本原因是代理合约和逻辑合约之间存在存储冲突——逻辑合约使用了代理合约的内存。

为了解决这个问题，Audius做出了相应调整:

①?修改了逻辑合约的存储结构：

②?限制了可以调用initialize()函数的权限：

资金去向

攻击者合约:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

约700ETH被转移到攻击者地址当中：https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

写在最后

在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中，显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用，其攻击事件相比其它小分类来说，数量较少，但往往具备更大的破坏性。

本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外，CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

来源：金色财经

郑重声明： 本文版权归原作者所有， 转载文章仅为传播更多信息之目的， 如作者信息标记有误， 请第一时间联系我们修改或删除， 多谢。