A plataforma descentralizada de streaming de música Audius foi explorada em 23 de julho, quando um invasor explorou uma vulnerabilidade em seu código de contrato inteligente de governança. De acordo com a Audius análise do hack, o invasor roubou mais de 18,5 milhões de tokens AUDIO, a criptomoeda nativa da plataforma, no valor de cerca de US$ 6,05 milhões na época.
O hacker identificou uma falha no código de inicialização do contrato que ajudou o criminoso a manipular os contratos de governança, staking e delegação da Audius, de acordo com o post-mortem do ataque da Audius. Um contrato inteligente é um código que permite que plataformas descentralizadas executem funções sem a necessidade de uma entidade centralizada.
Por meio da exploração, o invasor redefiniu a votação no protocolo Audius e tentou delegar 10 trilhões de tokens AUDIO duas vezes à sua carteira para aprovar propostas de governança. A primeira tentativa do invasor falhou, mas a segunda proposta maliciosa foi aprovada, segundo o relatório.
Isso permitiu que o invasor roubasse 18.564.497 tokens AUDIO do tesouro da comunidade e os transferisse para uma carteira Ethereum.
O invasor trocou os tokens roubados por 704,17 Ether (ETH) avaliados em mais de US$ 1,09 milhão na época na exchange descentralizada Uniswap, de acordo com dados de blockchain da carteira do atacante.
A equipe do Audius foi alertada pela primeira vez sobre a exploração mais de meia hora após a primeira tentativa do invasor de delegar 10 trilhões de tokens de AUDIO. A equipe encontrou o bug em menos de uma hora e implantou uma correção inicial. A plataforma está em processo de atualização de todos os seus contratos e algumas funcionalidades permanecem desativadas.
Os contratos explorados foram auditados duas vezes em um período de dois anos pela equipe do OpenZeppelin, mas o bug não foi detectado, disse o relatório da Audius.
