Kriptodaki teklifler, toplulukların fikir birliğine dayalı bazı kararları almasına yardımcı oluyor. Ancak bu durumun bazı dezavantajları da olabiliyor, aynen Audius’te olduğu gibi. Merkeziyetsiz müzik platformunda kötü niyetli bir yönetim önerisinin kabul edilmesi sonucunda 6,1 milyon dolarlık token transferi gerçekleşirken hacker ise 1 milyon dolar kazandı.
24 Temmuz’da, 18 milyon Audius kurum içi AUDIO tokenlerinin transferini talep eden kötü niyetli bir teklif (Proposal #85), topluluk oylamasıyla kabul edildi. İlk olarak @spreekaway Twitter hesabının belirttiği hacker, kendini yönetim sözleşmesinin tek koruyucusu olarak ayarlayabileceği kötü niyetli bir teklif oluşturdu.
Hello everyone - our team is aware of reports of an unauthorized transfer of AUDIO tokens from the community treasury. We are actively investigating and will report back as soon as we know more.
— Audius (@AudiusProject) July 24, 2022
If you'd like to help our response team, please reach out.
Audius kurucu ortağı ve CEO’su Roneil Rumburg, Cointelegraph’a yaptığı açıklamada topluluğun kötü niyetli bir teklifi kabul etmediğini söyledi ve şöyle devam etti:
“Bu bir istismardı, önerilen veya herhangi bir meşru yoldan geçen bir teklif değildi. Saldırının giriş noktası olarak da yönetim sistemi kullanılıyordu.”
Auduis'in konu hakkında devam ettirdiği araştırmalar sonucunda AUDIO tokenlerinin kurum hazinesinden yetkisiz bir şekilde transfer edildiği doğrulandı. Açıklamanın ardından Auduis, Ethereum blockchainindeki tüm Audius akıllı sözleşmelerini ve AUDIO tokenlerini önleyici olarak durdurdu.
The issue of @AudiusProject lies in inconsistent storage layout between its proxy and impl. In particular, the collision of Audius Community Treasury contract results in an equivalence of disabling the initializer modifier. The proxyAdmin addr (0x..abac) plays a role here. pic.twitter.com/x4CqRncahp
— PeckShield Inc. (@peckshield) July 24, 2022
Bilgisayar korsanının yönetim önerisi, hazineden yaklaşık 6 milyon dolar değerinde 18 milyon tokeni boşaltırken, kısa süre sonra dump yapıldı ve 1,08 milyon dolara satıldı. Damping maksimum seviyedeki kayma ile sonuçlanırken, yatırımcılar ise damping yapılmasını ve tokenin taban fiyatını daha da düşürmesini önlemek için derhal geri alım yapılmasını tavsiye etti.
Bir yatırımcının, “Topluluk fonunu hacklediler, takımın fonu ayrı değil mi?” sorusundan da anlaşılacağı üzere yatırımcılar, çalınan fonlar hakkında henüz bir netlik kazanamadı.
CEO, istismarın temel nedeninin hafifletildiğini ve yeniden istismar edilemeyeceğini doğruladı. Topluluk hazinesinin vakıf hazinesinden ayrı tutulduğu göz önüne alındığında ise kalan fonlar, herhangi bir istismara tehlikesine karşı güvenli bir konumda bulunuyor.
Diğer taraftan Bored Ape Yacht Club (BAYC) oluşturucusu Yuga Labs ise sosyal medya hesaplarında beklenen bir "koordineli saldırı" hakkında ikinci bir uyarıda bulundu.
Our security team has been tracking a persistent threat group that targets the NFT community. We believe that they may soon be launching a coordinated attack targeting multiple communities via compromised social media accounts. Please be vigilant and stay safe.
— Yuga Labs (@yugalabs) July 18, 2022
Yuga Labs kurucu ortağı Gordon Goner, haziran ayında Twitter sosyal medya hesaplarında olası bir saldırının ilk uyarısını yayımlamıştı. Twitter yetkilileri, uyarının hemen ardından hesapları aktif bir şekilde takip ederek mevcut güvenliklerini güçlendirdi.