Hackers atacam streaming de música e roubam US$ 1 milhão em criptomoedas
Os invasores conseguiram acessar os contratos inteligentes da plataforma Audius
Pouco mais de US$ 1 milhão em tokens da plataforma Audius (AUDIO), que oferece streaming de música tokenizada, foram roubados no fim de semana após hackers realizarem um ataque sofisticado contra o projeto.
A ofensiva explorou o sistema de governança da Audius, permite que a comunidade vote em decisões futuras de acordo com o saldo em tokens AUDIO na carteira – quem tem mais criptos vota com maior peso. No último sábado (23), os invasores burlaram o mecanismo usando votos falsos e desviaram criptomoedas da plataforma.
O ataque consistiu em duas fases. Na primeira, os hackers lançaram uma proposta que delegava 10 trilhões de criptos AUDIO a um contrato inteligente, mas ela falhou após não receber votos da comunidade.
Os invasores então lançaram uma segunda proposta, dessa vez solicitando a transferência de 18 milhões de tokens AUDIO do projeto para um determinado contrato inteligente controlado por eles devido a um bug no código.
Os hackers então criaram uma quantidade artificial de tokens para enganar o sistema e fraudar qualquer votação submetida à comunidade – eles usaram cerca de 10 trilhões de tokens AUDIO “simbólicos” para distorcer o resultado, ganhar a votação e enviar 18 milhões de tokens AUDIO para si mesmos.
Os 18 milhões de criptoativos AUDIO roubados foram então trocados por mais de 700 Ethereum (ETH) – o equivalente a cerca de US$ 1 milhão no momento da redação deste texto – no Tornado Cash, um protocolo que embaralha transações para esconder a origem dos valores.
“[As criptomoedas] foram comprometidas devido a um bug no código de inicialização do contrato que permitia invocações repetidas das funções de inicialização”, afirmaram os desenvolvedores em relatório divulgado nesta segunda-feira (25).
O conjunto de contratos explorados foi previamente auditado pela equipe da empresa de segurança em blockchain OpenZeppelin, mas a vulnerabilidade não foi detectada na época, disseram os desenvolvedores do projeto. Ainda de acordo com o time, as criptos restantes estão seguras e correções foram implantadas nesta segunda.