分散型音楽配信プラットフォームの「Audius」は2022年7月24日に、ガバナンス提案の仕組みを悪用した攻撃者によって、約1,800万のAUDIOトークンが不正送金されたことを明らかにしました。不正送金されたトークンの一部はすでにETHに交換されており、資金洗浄が行われていることも報告されています。
こちらから読む:GMOコイン、PalmuのIEO検討開始「暗号資産」関連ニュース
攻撃者が「約1,800万AUDIO」を不正送金
分散型音楽配信プラットフォームの「Audius」は2022年7月24日に、ガバナンス提案の仕組みを悪用した攻撃者によって、約1,800万のAUDIOトークンが不正送金されたことを明らかにしました。
Audiusとは、ブロックチェーン技術を活用した分散型の音楽ストリーミングプラットフォームであり、2021年8月には世界的に人気の動画共有サービス「TikTok(ティックトック)」と提携したことでも注目を集めていました。
同プロジェクトでは独自トークン「AUDIO」を保有することによってプロジェクトの意思決定に参加することができるガバナンストークンの仕組みが採用されていましたが、今回の攻撃者はコントラクト初期化コードのバグをついてガバナンスシステムを変更し、ネットワークのステーキング量を変更したと報告されています。
攻撃者は「自分自身をガバナンス契約の唯一の監視者として設定する」という悪意のある提案を作成し、AUDIOトークンの転送を要求する「ガバナンス提案#85」を実行することによって、Audiusコミュニティトレジャリーが保有する約1,800万AUDIOを自分のウォレットに移動させたと伝えられています。
犯人は取得したAUDIOの一部を売却・資金洗浄
盗まれた時点で約600万ドル(約8億円)以上の市場価値を持つAUDIOトークンを盗み出した犯人は、その後すぐに手に入れたAUDIOトークンの売却を始めたものの、まだ全てのトークンは売却されておらず、これまでに110万ドル(約1億5,000万円)相当しか売却されていないことが報告されています。
攻撃者のウォレットアドレス(0xa0c7bd318d69424603cbf91e9969870f21b8ab4c)には『Audius Exploiter(Audiusから不正に資金を盗んだ者)』というタグが付けられているものの、犯人は取得したAUDIOトークンを「Uniswap V2」でETHに交換した上で、それを「Tornado Cash」に送金して資金洗浄していることも報告されています。
なお、コインテレグラフの報道によると「Audius」のCEOであるRoneil Rumburg氏は『今回のガバナンス提案は攻撃の入り口として使用されたもので、Audiusコミュニティがこの提案を通したわけではない』と説明しているとのことで、ハッキングの根本原因だった点は修正され、再び不正利用されることはないと話していると報じられています。
また、Audiusは今回の攻撃を受けてトークンの残高確認や転送などを含めるスマートコントラクト機能を一時的に停止していたものの、現在は再開されており、コミュニティのトレジャリーは財団のトレジャリーとは別に保管されているため、残りの資金は安全であるとも報告されています。
