分散型音楽配信アプリAudius、8億円相当のコミュニティー資産が不正流出

Audiusでハッキング流出

分散型音楽ストリーミングプロトコルAudiusは24日、ハッカーが不正なガバナンス投票を用いて、同プロトコルのコミュニティから資産の不正流出を行ったと報告した。

Post-mortem from this weekend's attack is now live: https://t.co/aPUv2fPUm7

Highlights:
– Audited contracts were compromised due to an exploit in the contract initialization code that allowed repeated invocations of the "initialize" function.
— Audius 🎧 (@AudiusProject) July 25, 2022

ハッカーは、1,800万枚のAUDIOトークンを外部に送金し、イーサリアム（ETH）の形で約1.5億円（110万ドル）を売却した。1,800万AUDIOは執筆時点では約8億円に相当する規模だ。

経緯

Audiusのツイッターアカウントは24日、AUDIOトークンがコミュニティの金庫から不正に引き出されたと報告。その二時間後には「問題を特定し、復旧のために修正を進めている」「追加被害を防ぐために、イーサリアム上のすべてのAudiusスマートコントラクトを一時停止した」と通知した。

さらにその後、次のようにツイートした。

The $AUDIO token is fully functional once again.

Remaining smart contract functionality is being unpaused after thorough examination / mitigation of the vulnerability.

Thank you all for your patience and understanding. Full post-mortem likely to come tomorrow.
— Audius 🎧 (@AudiusProject) July 24, 2022

AUDIOトークンは再び完全に機能するようになった。スマートコントラクトの残りの機能は、脆弱性の徹底的な調査と低減措置を行った後に、再開する見込みである。完全な事後報告は明日になりそうだ。

仮想通貨セキュリティ企業CertiKによると、犯人はAudiusのガバナンスシステムで使用されているスマートコントラクトの変更に成功。これにより、犯人は自分一人をコントラクトの監視者にすることができたという。その他、「投票期間」などについての設定も変更した。

#CommunityAlert 🚨

The @AudiusProject has been exploited for a total of ~$6M worth of AUDIO tokens, the tokens were sold for 705 ETH.

The attacker modified the Audius governance contract's configurations, then proposed and executed a malicious proposal draining 18.5M AUDIO. pic.twitter.com/djuAO1Jarv
— CertiK Alert (@CertiKAlert) July 24, 2022

その後、犯人はAUDIOトークン1,800万枚の譲渡を求める不正な提案「プロポーザル#85」を提出。自分で投票・承認し、AUDIOトークンを入手した格好だ。

犯人は、すぐに手に入れたAUDIOトークンの売却を始めた。盗まれたトークンの市場価値は全部で約8億円（600万ドル）以上あったものの、市場のスリッページが多発する中、これまでのところは110万ドル相当しか売却できていない。残りの盗まれた資金は、まだ犯人のアドレスに存在している状況だ。このアドレスには「Audius Exploiter（Audiusから不正に資金を盗んだ者）」というタグが付けられている。

コインテレグラフによると、AudiusのRoneil Rumburg CEOは、「今回のガバナンス提案は攻撃の入り口として使用されたもので、Audiusコミュニティがこの提案を通したわけではない」ことを確認した。また、ハッキングの根本原因だった点は修正され、再び不正利用されることはないと話している。

Audiusとは

Audiusは、ミュージシャンが作品を収益化することができるプラットフォーム。ガバナンストークン兼ユーティリティトークンとして独自の暗号資産（仮想通貨）AUDIOトークンを発行している。このAUDIOトークンは、イーサリアムとソラナ（SOL）のネットワーク上で使用できるものだ。

ガバナンスとは

DeFi（分散型金融）プロジェクトの多くでは、ガバナンストークンと呼ばれる、あるプロジェクトのガバナンスに参加するための投票権のようなものが存在する。ユーザーは、報酬のガバナンストークンの価値上昇を期待して、流動性を提供する。流動性を提供するユーザーが増えると、プロダクトの有用性が高まり、プロジェクト自体の価値が上昇するといった仕組みだ。

▶️仮想通貨用語集

Audiusは、2018年に設立されており、シリーズAラウンドで550万ドルを資金調達。これまでの音楽配信プラットフォームよりも、アーティストが自分達でコントロールできるような場所を作ることを目指して立ち上げられた。

コンテンツ配信やマネタイズ構造などに関するプラットフォームのガバナンスについても、アーティストが投票権を持つべきとしており、AUDIOトークンによる投票を採用している。

また、従来の配信プラットフォームよりも支払いの点でアーティストに利点がある。ブロックチェーンベースの公開台帳を使用して、ほぼ即座に、完全に透明性のある形で支払いを行うことを可能としているという。

2021年12月には、メタバース「DeFi Land」でFMラジオタワーを建設。ユーザーはDeFi LandでAudiusの音楽を聴きながらイールドファーミングすることができるようになった形だ。