Bank Sponsored

Хакеры украли стоимостью 200 000 долларов США из EOS, у dApp был недостаток в смарт-контракте

Avatar Davit Babayan 2 years ago

Приложение для азартных игр, основанное на блокчейне EOS, имело недостаток в своей системе смарт-контрактов. Из-за уязвимости хакеры смогли преодолеть стоимость EOS на 200 000 долларов.

EOSBet в автономном режиме после нарушения безопасности

Те, кто стояли за позавчерашним нападением, использовали слабость в одном из смарт-контрактов платформы EOSBet. После инцидента служба была отключена, а разработчики попытались точно определить, как такая атака возможна.

Согласно сообщению TheNextWeb, представитель EOSBet заявил:

«[…] Несколько часов назад нас атаковали, и около 40 000 EOS были взяты из нашего денежного средства … Эта ошибка не была незначительной, как было заявлено ранее, и мы все еще проводим экспертизу и собираем то, что произошло».

Они добавили, что служба должна восстановить полную функциональность «относительно быстро» и что инцидент был вызван ошибкой в ​​кодировании одной из их игр. Кроме того, похоже, что хакеры смогли нацелить множество игр с тем же кодом.

Похоже, что те, кто находился за атакой, смогли обмануть функцию денежных средств EOSBet, используя фальшивый хеш. Это открытие было впервые опубликовано членом сообщества EOSBet Reddit. Сообщение пользователя «thbourlove» показало код, используемый для использования этой уязвимости. Это было объявлено на официальном аккаунте платформы в Reddit:

«Да, нас взломали. Но у нас также есть это точное утверждение, которое вы делаете. Я был бы осторожен, это немного глубже, чем вы думаете».

Похоже, что те, кто отвечают за атаку, попытались сделать переводы с платформы на кошелек злоумышленника, выглядят законными, создав учетную запись, которая очень похожа на учетную запись официального кошелька EOSBet. Они получали небольшие транзакции с нескольких учетных записей, сопровождаемых следующим сообщением и другими подобными:

«Напоминание: пожалуйста, возместите незаконный доход, иначе мы будем нанимать команду юристов в Китае, чтобы преследовать вас всю уголовную ответственность и убытки. Eosbet официальная учетная запись eos: eosbetdicell. “

Предположительно, есть надежда, что выплата будет напоминать официальный возврат средств игрокам, пострадавшим от нарушения.

Хотя эти цифры намного меньше, инцидент слишком напоминает взлом DAO в сети Ethereum. Там была использована уязвимость смарт-контрактов, позволяющая злоумышленникам преодолевать миллион долларов инвесторов. Это был ответ, вызвавший появление вилки, создавшей Ethereum Classic. Понятно, что разработчики надеются, что в их dApps будут использоваться смарт-контракты.

 

Davit Babayan

Davit Babayan is an Armenia-based expat balancing the academic life of a software design engineer with the experiences of a financial technology journalist. He aspires to be a full-time columnist and wants to write a book that...

Tags: BitStarz Player Lands $2,459,124 Record Win! Could you be next big winner?