CER:CertiK：600万美元损失，去中心化音乐平台Audius攻击事件分析

北京时间2022年7月23日，CertiK安全团队监测到去中心化音乐平台Audius遭到黑客攻击，损失了价值600万美元的AUDIO代币。攻击者通过调用initialize()函数重新初始化修改了Audius治理合约的配置，然后提出并执行了一个恶意提案，导致Audius合约将1850万AUDIO代币转移给攻击者。

大约价值600万美元的AUDIO代币被攻击者交易为约700ETH。

攻击步骤

①?攻击者调用Audius治理合约中的initialize()函数来修改配置，如“投票期”、“执行延迟”、“监护人地址”。该函数受到“initializer”修改器的保护，不应该被多次调用。

CertiK：正积极调查Merlin攻击事件，或为私钥管理问题:金色财经报道，CertiK在推特发布公告称其正积极调查Merlin攻击事件，初步调查结果表明，是潜在的私钥管理问题而不是漏洞被利用。

如果发现任何不法行为，将与有关当局合作并分享相关信息。

此前报道，Web3知识图谱协议0xScope创始人Bobie发推特称，zkSync生态上DEX Merlin流动性耗尽，黑客盗取182万美元资金并桥接至以太坊。[2023/4/26 14:27:36]

https://etherscan.io/tx/0x3bbb15f9852c389e8d77399fe88b49b042d0f22aad4a33c979fbabc60a34b24f

Balancer团队将分配5万枚BAL用于资助生态发展:AMM协议Balancer通过Batch#2决议，Balancer团队将分配5万枚BAL用于资助生态发展。作为新Batch的一部分，Balancer团队将会在资助项目中增加新的元素。奖励是团队在任意时间想要资助的特定项目。[2020/11/19 21:18:19]

https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984

DFI.Money（YFII）发起关于如何分配Balancer奖励提案:9月3日，聚合器项目DFI.Money（YFII）收到首批Balancer（BAL）奖励，共计BAL 679.83个，价值21,814美元。该奖励来源于YFII/DAI矿池，后续每周都将收到。关于奖励如何分配，社区发起提案进行投票：放进循环挖矿池；换成yCRV给投票人激励参与投票；注入社区基金。[2020/9/8]

https://dashboard.tenderly.co/tx/mainnet/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984/debugger?trace=0.0.0.1.0.0

②?攻击者提交了恶意提案，该提案是要求Audius治理合约向攻击者转移1850万AUDIO代币。https://etherscan.io/tx/0xfefd829e246002a8fd061eede7501bccb6e244a9aacea0ebceaecef5d877a984.

③?攻击者对恶意提案进行投票。https://etherscan.io/tx/0x3c09c6306b67737227edc24c663462d870e7c2bf39e9ab66877a980c900dd5d5

④?攻击者执行了恶意提案，获得了1850万AUDIO代币。https://etherscan.io/tx/0x4227bca8ed4b8915c7eec0e14ad3748a88c4371d4176e716e8007249b9980dc9

⑤?攻击者售出1850万AUDIO代币，获取了约700ETH。https://etherscan.io/tx/0x82fc23992c7433fffad0e28a1b8d11211dc4377de83e88088d79f24f4a3f28b3?

②?限制了可以调用initialize()函数的权限：

写在最后

在CertiK编撰的《2022年第二季度Web3.0安全现状报告》中，显示了2022年第二季度Web3.0十大攻击事件的罪魁祸首正是漏洞恶意利用，其攻击事件相比其它小分类来说，数量较少，但往往具备更大的破坏性。

本次攻击事件本可通过审计发现「代码未遵循最佳实践」这一风险因素。除了审计之外，CertiK安全团队建议新增的代码也需要在上线前及时进行相应测试。

标签：CERAUDBALETHDefilancer tokenAUDIO币Phoenix Global(new)CBETH

币安app下载热门资讯