600萬美元損失 去中心化音樂平臺Audius攻擊事件分析_AUD:https://etherscan.io

北京時間2022年7月23日，CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊，損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置，然后提出并執行了一個惡意提案，導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。

大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。

攻擊步驟

①?攻擊者調用Audius治理合約中的initialize()函數來修改配置，如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護，不應該被多次調用。

SPACE ID將于6月底開始第二期空投:6月9日消息，Web3 域名和身份平臺 SPACE ID 發推稱，SPACE ID Voyage Season 2 將于北京時間 6 月 16 日 16:00 截止。第二期空投將于 6 月底開始，有關發布分配與認領細節將很快發布。空投將根據整個第二季度以來所獲得的積分和相關的加成分數來計算。同時，關于 TGE 后第一季度（3 月 23 日至 6 月 23 日）ID 代幣回購，將在 DAO 治理論壇提交提案草案審核，由 ID 代幣持有者投票決定后執行回購。[2023/6/9 21:26:37]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

Cronos與韓國首爾市達成合作擬開發本地區塊鏈生態系統和人才庫:金色財經報道，EVM兼容Layer 1網絡Cronos開發公司Cronos Labs宣布已與韓國首爾市達成合作，旨在提升韓國Web3產業的競爭力，為區塊鏈領域的全球人才發展創造機會，同時致力于支持開發本地區塊鏈生態系統和人才庫，Cronos Labs將幫助本地構建者在 Cronos 鏈上創建用戶友好的應用程序，并推動Web3的主流采用。[2023/5/22 15:17:56]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

MaskNetwork獲得DWF Labs的500萬美元戰略投資:金色財經報道，Web3全球數字資產管理公司DWF Labs日前宣布通過購買價值5百萬美金的MASK通證的形式，對Mask Network進行了戰略投資，雙方也將同時展開合作。投資將用于對去中心化社交網絡和Mask Network生態系統的長期建設和支持，使Web3更易于使用。[2023/1/19 11:21:36]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

納斯達克上市礦企Moxian宣布撤資中國子公司:8月16日消息，納斯達克上市礦企Moxian(BVI)Inc宣布旗下全資子公司Moxian Group Limited已經簽署了一份股權轉讓協議，出售中國子公司Moxian(HongKong)Limited的全部股權。

據悉，Moxian(BVI)Inc此次出售是因為相關實體自成立以來一直處于虧損狀態。Moxian(BVI),Inc.在中國從事提供互聯網媒體營銷服務，在美國從事比特幣挖礦及相關服務。（GolobeNewswire）[2022/8/16 12:28:06]

②?攻擊者提交了惡意提案，該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻擊者執行了惡意提案，獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻擊者售出1850萬AUDIO代幣，獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

漏洞分析

CertiK安全團隊在調查中，試圖找出攻擊者是如何多次調用initialize()的。

分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。

為了解決這個問題，Audius做出了相應調整:

①?修改了邏輯合約的存儲結構：

②?限制了可以調用initialize()函數的權限：

資金去向

攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

約700ETH被轉移到攻擊者地址當中：https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

寫在最后

在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中，顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用，其攻擊事件相比其它小分類來說，數量較少，但往往具備更大的破壞性。

本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外，CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

來源：金色財經

Tags：AUDETHHTTTPSaud幣種togetherbnb幾個女主https://etherscan.io

狗狗幣價格