HER:600萬美元損失 去中心化音樂平臺Audius攻擊事件分析_https://etherscan.io

北京時間2022年7月23日，CertiK安全團隊監測到去中心化音樂平臺Audius遭到黑客攻擊，損失了價值600萬美元的AUDIO代幣。攻擊者通過調用initialize()函數重新初始化修改了Audius治理合約的配置，然后提出并執行了一個惡意提案，導致Audius合約將1850萬AUDIO代幣轉移給攻擊者。

大約價值600萬美元的AUDIO代幣被攻擊者交易為約700ETH。

攻擊步驟

①?攻擊者調用Audius治理合約中的initialize()函數來修改配置，如“投票期”、“執行延遲”、“監護人地址”。該函數受到“initializer”修改器的保護，不應該被多次調用。

FTX與Genesis在破產糾紛中達成原則性協議:金色財經報道，在給美國紐約南區破產法院法官Sean H. Lane的文件中顯示，FTX與Genesis就解決涉及第11章案件的爭議達成了原則性協議，并向法院提出申請，要求法院發布命令批準和解。該協議將解決FTX債務人在第11章訴訟案中對債務人提出的索賠以及Genesis債務人在FTX第11章訴訟案中對FTX債務人提出的索賠等問題，但尚需文件證明。為了使雙方有機會最終確定有關和解的明確文件，雙方懇請法院暫停向法院提交有關解除暫緩執行動議和估算動議的任何文件。[2023/7/28 16:03:48]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

美聯儲利率決議前瞻：通脹正在放緩，但美聯儲不會冒險:金色財經報道，美聯儲政策制定者準備周三加息至22年來的最高水平，同時保留緊縮傾向，這表明今年晚些時候可能會進一步采取行動。聯邦公開市場委員會（FOMC）預計將利率上調四分之一個百分點至5.25%-5.5%范圍，這是過去16個月內第11次加息。7月份的加息是在6月份的一次暫停之后進行的，當時的目的是在利率接近一個水平時放慢加息的步伐，這一水平被認為足以使通脹隨著時間的推移回到2%的目標。盡管如此，鮑威爾和其他政策制定者仍希望表現出堅決的態度，并在必要時保留再次加息的選擇，以避免價格再次飆升。荷蘭國際銀行首席國際經濟學家詹姆斯·奈特利表示：“通脹正在放緩，但對美聯儲來說還不夠快；由于就業市場保持堅挺，官員們不會冒險。”[2023/7/23 15:53:36]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

Spot On Chain：一交易者在LBR漲前逢低買入約5.5萬枚代幣:金色財經報道，據Spot On Chain在社交媒體發文稱，一交易者在昨日LBR上漲57%之前投機成功，該交易者在0.923美元的價格用30枚ETH購入了5.48萬枚LBR。根據Coinmarketcap數據顯示，當前LBR價格約為1.34美元，過去24小時漲幅已達62.94%。Spot On Chain分析稱，該交易者在過去5次代幣交易中盈利了三次，預估所得利潤約為2.32萬美元。[2023/6/18 21:45:27]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

法國以FTX破產為由考慮于明年10月對加密貨幣公司實施全面許可制度:金色財經報道，法國參議院財政委員會成員 Hervé Maurey 周二提出了一項修正案，該修正案旨在要求任何希望從事數字資產服務的提供商最遲在 2023 年 10 月在法國進行強制注冊。該修正案稱 FTX 最近的破產凸顯了任何加密資產投資的固有風險，法國目前兩級機制分為強制注冊和可選認證，允許加密貨幣公司在 2026 年之前在沒有完整許可證的情況下在該國運營。該修正案于本周在參議院通過，將于明年提交法國議會。[2022/12/15 21:47:33]

②?攻擊者提交了惡意提案，該提案是要求Audius治理合約向攻擊者轉移1850萬AUDIO代幣。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻擊者對惡意提案進行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻擊者執行了惡意提案，獲得了1850萬AUDIO代幣。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻擊者售出1850萬AUDIO代幣，獲取了約700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

漏洞分析

CertiK安全團隊在調查中，試圖找出攻擊者是如何多次調用initialize()的。

分析后發現事件的根本原因是代理合約和邏輯合約之間存在存儲沖突——邏輯合約使用了代理合約的內存。

為了解決這個問題，Audius做出了相應調整:

①?修改了邏輯合約的存儲結構：

②?限制了可以調用initialize()函數的權限：

資金去向

攻擊者合約:?https://etherscan.io/address/0xbdbb5945f252bc3466a319cdcc3ee8056bf2e569

約700ETH被轉移到攻擊者地址當中：https://etherscan.io/address/0xa0c7bd318d69424603cbf91e9969870f21b8ab4c

寫在最后

在CertiK編撰的《2022年第二季度Web3.0安全現狀報告》中，顯示了2022年第二季度Web3.0十大攻擊事件的罪魁禍首正是漏洞惡意利用，其攻擊事件相比其它小分類來說，數量較少，但往往具備更大的破壞性。

本次攻擊事件本可通過審計發現「代碼未遵循最佳實踐」這一風險因素。除了審計之外，CertiK安全團隊建議新增的代碼也需要在上線前及時進行相應測試。

來源：金色財經

Tags：ETHAUDTPSHERreth幣投資機構AUDT價格https://etherscan.ioHeroBook

USDC