Lo que los usuarios de la aplicación de transmisión de música Web3 deben saber sobre el truco de $6 millones

Lo que los usuarios de la aplicación de transmisión de música Web3 deben saber sobre el truco de $6 millones

La aplicación de transmisión de música Web3 Audius sufrió un ataque a la tesorería de su comunidad, lo que resultó en la pérdida de $ 6 millones en tokens de AUDIO. Así es como sucedió.

Plataforma de transmisión de audio basada en blockchain Audio ha aprendido por las malas que los piratas informáticos pueden robar fondos de la comunidad, a pesar de estar en línea durante dos años y haber pasado sus auditorías de seguridad hace mucho tiempo. Si bien los usuarios y los titulares de tokens de AUDIO no se ven afectados, este ataque le recuerda a la industria que incluso un proyecto bien auditado que ha estado activo durante años aún puede poseer una vulnerabilidad furtiva que espera ser descubierta y explotada por un hacker inteligente.

Audius es una plataforma de transmisión de música de Internet y blockchain Web3 con elementos de redes sociales. Utiliza blockchain como parte de su diseño para asegurar los derechos de propiedad de los usuarios sobre su contenido, y es una de las aplicaciones blockchain no financieras más grandes de la industria. Muchas partes de Audius se basan en la cadena de bloques de Solana y, debido a las tarifas de transacción de menos de un centavo de Solana, los artistas de Audius pueden tokenizar su trabajo de forma gratuita acuñando su contenido como NFT. Si bien Audius aún está en desarrollo y lo estará durante años, los artistas eventualmente podrán establecer tarifas de transmisión por su trabajo, y la plataforma promete generar mejores ingresos que los competidores de Web2 como Spotify y Soundcloud. Cuando se implemente esta función, a los creadores se les pagará en AUDIO, una criptomoneda construida en la cadena de bloques Ethereum que actualmente se usa para el gobierno de la comunidad DAO. La DAO vota sobre los retiros de la tesorería y las actualizaciones de la funcionalidad de la plataforma, una característica que aprovechó el hacker.

VÍDEO DEL DÍA

De acuerdo a Negocio de la música en todo el mundoel 24 de julio, un atacante explotó una vulnerabilidad en el contrato inteligente de gobierno comunitario de Audius (un programa de cadena de bloques), que les permitió “delegar” 10 billones de tokens de AUDIO sin poseerlos realmente, y luego usar los tokens delegados para forzar una propuesta para vaciar el tesoro de la comunidad en la billetera del atacante. Los 18,6 millones de tokens de AUDIO que fueron robados del tesoro tenían una capitalización de mercado de $ 6 millones, que el atacante pudo intercambiar inmediatamente por $ 1 millón en ETH (la criptomoneda nativa de Ethereum, ether) en Uniswap, y actualmente se encuentra en proceso de lavado a través del mezclador Tornado Cash. La vulnerabilidad ha sido abordada desde entonces por el equipo de desarrolladores y, afortunadamente, no impactó los fondos de la comunidad.

Las auditorías de seguridad no son a prueba de balas

Este incidente demuestra cómo incluso un contrato inteligente bien probado y con seguridad auditada puede contener vulnerabilidades ocultas que no se detectaron durante las auditorías de seguridad. Los contratos inteligentes de Audius han estado activos durante dos años sin ningún problema, lo que proporcionó una falsa sensación de seguridad. Esto les recuerda a todos que el tiempo pasado “En la naturaleza” no garantiza que el código sea impecable y que se deban realizar auditorías de seguridad periódicamente en los contratos inteligentes, incluso en el código antiguo.

La naturaleza exacta del ataque ocurrió debido a las formas oscuras en que los contratos inteligentes actualizables almacenan e interactúan con sus datos, lo cual es un inconveniente bien conocido de usarlos. Estos diseños sofisticados se pueden combinar con la gobernanza de DAO, brindando a la comunidad la capacidad de votar sobre la nueva funcionalidad y, por lo tanto, dándoles una influencia directa sobre la evolución del proyecto. Así funciona la plataforma Audius. Sin embargo, esta característica es lo que el hacker usó para introducir su propia propuesta. Una vez que descubrieron el error de almacenamiento de datos que les permitió delegar 10 000 veces los tokens de AUDIO en circulación al contrato de gobierno, pudieron aprobar cualquier propuesta que quisieran, en este caso, el retiro de todo el tesoro de la comunidad.

Afortunadamente, este hackeo no afectó a los usuarios de Audius ni a los poseedores/participantes de tokens de AUDIO, ya que solo se vio afectado el tesoro de la comunidad, y el precio de AUDIO solo sufrió un impacto del 9 por ciento (probablemente debido al comercio de Uniswap del hacker). Desde entonces, el equipo de Audius ha publicado un parche para la vulnerabilidad, y los desarrolladores de todo el mundo han tomado nota de cómo el hacker logró este atraco. Cada nuevo truco que ocurre en la industria de la cadena de bloques es una experiencia de aprendizaje para los desarrolladores de cadenas de bloques en todas partes y, afortunadamente, este no fue tan malo. A pesar del ataque, Audio sigue siendo una fuerza poderosa en la próxima generación Web3 de Internet.

Fuente: Music Business Worldwide




Source link