Les propositions crypto aident les communautés à prendre des décisions par consensus. Cependant, pour la plateforme musicale décentralisée Auduis, l'adoption d'une proposition de gouvernance malveillante a entraîné le transfert de tokens d'une valeur de 6,1 millions de dollars, le hacker s'en tirant avec 1 million de dollars.
Le 24 juillet, une proposition malveillante (Proposion #85) demandant le transfert de 18 millions de tokens AUDIO internes à Audius a été approuvée par le vote de la communauté. « D'abord signalé sur Crypto Twitter par @spreekaway, le pirate a créé la proposition malveillante dans laquelle il a pu "mentionner initialize() et se définir comme le seul responsable du contrat de gouvernance ».
Hello everyone - our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
— Audius (@AudiusProject) July 24, 2022
If you'd like to help our response team, please reach out.
Bonjour à tous - notre équipe est au courant des rapports d'un transfert non autorisé de tokens AUDIO de la trésorerie de la communauté. Nous enquêtons activement et vous ferons un rapport dès que nous en saurons plus.
Si vous souhaitez aider notre équipe de réponse, veuillez nous contacter.
- Audius (@AudiusProject) 24 juillet 2022
S'adressant à Cointelegraph, le cofondateur et PDG d'Audius, Roneil Rumburg, a précisé que la communauté n'avait pas adopté une proposition malveillante :
Il s'agissait d'une manœuvre - pas d'une proposition faite ou passée par un quelconque moyen légitime - il s'est juste avéré que le système de gouvernance a été utilisé comme point d'entrée pour l'attaque.
Une enquête plus poussée menée par Auduis a confirmé le transfert non autorisé de tokens AUDIO depuis la trésorerie de la société. Suite à cette découverte, Auduis a arrêté de manière proactive tous les smart contracts Audius et les tokens AUDIO sur la blockchain Ethereum afin d'éviter de nouvelles pertes. La société a toutefois repris les transferts de jetons peu de temps après, précisant que « les fonctionnalités restantes dans les smart contrats sont débloquées après un examen approfondi/une atténuation de la vulnérabilité ».
L'enquêteur blockchain Peckshield a attribué la faute à des incohérences dans la structure de stockage d'Audius.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Le problème avec @AudiusProject réside dans une structure de stockage incohérente entre son proxy et sa mise en œuvre. En particulier, la collision du contrat de trésorerie de la communauté Audius entraîne une équivalence de désactivation du modificateur d'initialisation. L'addr proxyAdmin (0x..abac) joue un rôle ici. pic.twitter.com/x4CqRncahp
- PeckShield Inc. (@peckshield) 24 juillet 2022
Alors que la proposition de gouvernance du hacker a drainé 18 millions de tokens d'une valeur de près de 6 millions de dollars de la trésorerie, elle a rapidement été dumpée et vendue pour 1,08 million de dollars. Alors que le dumping a entraîné un écart maximal, les investisseurs ont recommandé un rachat immédiat afin d'éviter que les investisseurs existants ne fassent du dumping et ne fassent davantage baisser le prix plancher du token.
Les investisseurs doivent encore obtenir des éclaircissements sur les fonds volés. Un investisseur a demandé : « Ils ont piraté le fonds de la communauté, n'est-ce pas ? Le fonds de l'équipe est séparé, c'est ça ? ».
Rumburg a confirmé à Cointelegraph que la source de cette opération a été atténuée et ne peut pas être réexploitée. Étant donné que la trésorerie de la communauté est séparée de celle de la fondation, les fonds restants restent à l'abri de tout exploit.
À lire également : Yuga Labs met en garde contre un « groupe de menaces récurrentes » ciblant les détenteurs de fonds communautaires
Yuga Labs, le créateur du Bored Ape Yacht Club (BAYC), a émis son deuxième avertissement concernant une « attaque coordonnée » attendue sur ses comptes de réseaux sociaux.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Notre équipe de sécurité a suivi un groupe de menaces persistantes qui cible la communauté NFT. Nous pensons qu'ils pourraient bientôt lancer une attaque coordonnée visant plusieurs communautés via de faux comptes de réseaux sociaux. Veuillez être vigilant et faire preuve de prudence.
- Yuga Labs (@yugalabs) 18 juillet 2022
En juin, Gordon Goner, pseudo cofondateur de Yuga Labs, a émis le premier avertissement relatif à une probable attaque contre ses comptes de réseaux sociaux Twitter. Peu après l'avertissement, les responsables de Twitter ont surveillé activement les comptes et ont renforcé leur système de sécurité existante.