信息來源：安全內(nèi)參

據(jù)悉，上周末去中心化音樂平臺Audius遭受了黑客攻擊，攻擊者竊取了超過1800萬個AUDIO代幣，總價值約600萬美元。AUDIO價格受此事件影響在一小時內(nèi)驟降17%。

Audius是一個托管在以太坊區(qū)塊鏈上的去中心化流媒體平臺，藝術(shù)家可以通過分享他們的音樂來獲得AUDIO代幣，而用戶可以通過收聽這些內(nèi)容來賺取代幣。

根據(jù)Audius周日發(fā)布的事后分析報告，事件中的黑客利用了合約初始化代碼中的一個錯誤，該錯誤允許其重復調(diào)用初始化函數(shù)（具體攻擊原理可點擊文末官方報告鏈接查看）。黑客成功竊取18564497枚AUDIO代幣后，Audius平臺在幾分鐘內(nèi)做出了回應(yīng)，迅速凍結(jié)了幾項服務(wù)以防止代幣進一步被盜，直到開發(fā)人員完成修復程序的部署。

隨后，攻擊者為脫手贓物，以損失其價值的5/6為代價，在Uniswap上以107萬美元的價格交易了所有盜取的AUDIO代幣，然后通過Tornado Cash混幣服務(wù)隱藏了被盜資金的蹤跡。

Audius官方表示：“雖然Audius的合約系統(tǒng)在2020年8月和2021年10月已從兩個不同的審計師那里進行了兩次深入的安全評估，但都沒有發(fā)現(xiàn)在這次事件中被利用的漏洞。從合約部署起，這個漏洞就一直存在于野外。對于Audius和其他基于區(qū)塊鏈的項目來說，這是一個教訓，說明審計并不總是能找到所有可利用的錯誤?！?

與其他類似事件相比較，Audius這次還算是幸運的。黑客發(fā)起網(wǎng)絡(luò)攻擊時，Audius大多數(shù)團隊成員都處于清醒狀態(tài)并且能夠迅速做出反應(yīng)，從而防止了更嚴重的損失。

Audius官方關(guān)于此事件的詳細報告：https://blog.audius.co/article/audius-governance-takeover-post-mortem-7-23-22