FX168财经报社(北美)讯 周一(7月25日),在涉及Audius论坛的攻击中,价值约110万美元的AUDIO代币被盗,
Audius是一个代币化的音乐流媒体项目,依靠社区投票和治理来做出决策。周六,一项恶意提案导致攻击者发布虚假帖子并操纵代币投票以窃取资金。
美国银行周四在一份研究报告中表示,Audius的去中心化音乐流媒体平台为艺术家提供了更大的利润和更多的控制权。
攻击者最初提出了“第84号提案”,该提案在内部将10万亿音频委托给了质押合约(没有代币供应变化)。该交易失败,因为没有对该提案进行投票。
攻击者随后提出了“第 85 号提案”,该提案要求在治理投票中转移1800万个AUDIO代币。Audius开发人员在周一的报告中解释说,攻击者随后“能够调用 initialize并将自己设置为该治理合约的唯一监护人”。initialize 函数在智能合约中为程序提供其初始数据点。这使得攻击者可以单独控制治理提案并在提案通过时转移代币。
在提出第85号提案后,攻击者执行了一项交易,将10万亿音频用于投票,从而使提案偏向于攻击者。流通供应没有受到影响,但该提案通过了,因为错误的投票能够欺骗Audius的智能联系人。这使得攻击者可以恶意将Audius治理合约(称为“社区金库”)持有的1800万个AUDIO代币转移到他们控制的钱包中。
被盗代币随后在隐私交换服务Tornado Cash上兑换了700多个以太币(ETH),在撰写本文时价值约108万美元。
Audius开发人员表示,这组被利用的合约先前已由OpenZeppelin团队审核,但当时并未发现该漏洞。所有剩余的资金都是安全的,并且截至周一已经部署了修复程序。
Audius音乐流媒体区块链项目
Audius于2020年10月启动了其主网,旨在将“从唱片公司和集中式DSP(数字服务提供商)等中介机构的权力和利润平衡转移到艺术家和平台用户”。
该平台计划通过移除中介将90%的收入分配给艺术家,将10%的收入分配给节点运营商,从而形成一个“分散的DSP,将权力、利润、控制和治理从唱片公司和集中的DSP转移给艺术家和粉丝”。
这家流媒体服务上周表示,它正在为创作者提供一项新功能,允许听众通过其治理令牌AUDIO向艺术家发送提示,从而通过他们的内容获利。
美国银行表示,音乐行业的颠覆时机已经成熟。尽管如此,相对于较大的DSP,Audius的采用趋势和有限的音乐产品可能会限制“短期中断风险”,但是,长期中断仍然是可能的。
竞争是一个问题,因为领先的DSP通过唱片公司提供大型音乐产品和利用个人数据来改善用户体验,围绕他们的业务建立了“经济护城河”,像Audius这样的小型DSP面临着“Catch-22 场景”,因为需要用户采用才能将艺术家推到他们的平台上,但它也需要艺术家的加入来推动用户采用。
该银行指出,虽然Audius的平台吸引了包括deadmau5、Diplo、Skrillex和Weezer在内的主流艺术家,但自2021年12月以来,其使用增长已经放缓。Audius无法删除不应忽视的侵犯版权的音乐也存在潜在的法律风险。