CertiK：600萬美元損失，去中心化音樂平臺Audius攻擊事件分析_CER:carVertical

北京時間2022年7月23日，CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊，損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置，然后提出并執行了一個惡意提案，導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。

大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。

攻擊步驟

①?攻擊者調用Audius治理合約中的initialize()函數來修改配置，如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護，不應該被多次調用。

CertiK：警惕推特上假冒ORAI空投的虛假宣傳:金色財經報道，CertiK Alert發推稱，警惕推特上假冒$ORAI空投的虛假宣傳，請用戶切勿與相關鏈接互動，該網站會連接到一個已知的自動盜幣地址。[2023/8/15 21:24:06]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

Balancer上線Polygon網絡:7月1日消息，Balancer上線Polygon，Balancer官方表示將與Polygon合作提升DeFi流動性，降低交易費用。Balancer將會在Polygon網絡進行流動性挖礦。[2021/7/1 0:20:52]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

HyperGraph 挖礦和通證合約通過CertiK審計:據官方消息，HyperGraph 挖礦和通證合約日前通過了CertiK的審計，CertiK 對HyperGraph合約進行了審計，并就相關邏輯與開發團隊進行了反復討論和確認溝通。CertiK的報告也就某些邏輯的開發提出了很好的意見和改進建議，這對于團隊后續的智能合約開發很有幫助。[2021/5/26 22:47:04]

②?攻擊者提交了惡意提案，該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻擊者執行了惡意提案，獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻擊者售出1850萬AUDIO代幣，獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

②?限制了可以調用initialize()函數的權限：

寫在最后

在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中，顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用，其攻擊事件相比其它小分類來說，數量較少，但往往具備更大的破壞性。

本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外，CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

Tags：CERAUDERTcertikCER價格AudioCoincarVerticalcertik幣價

XLM