Приложение для азартных игр, основанное на блокчейне EOS, имело недостаток в своей системе смарт-контрактов. Из-за уязвимости хакеры смогли преодолеть стоимость EOS на 200 000 долларов.
EOSBet в автономном режиме после нарушения безопасности
Те, кто стояли за позавчерашним нападением, использовали слабость в одном из смарт-контрактов платформы EOSBet. После инцидента служба была отключена, а разработчики попытались точно определить, как такая атака возможна.
Согласно сообщению TheNextWeb, представитель EOSBet заявил:
«[…] Несколько часов назад нас атаковали, и около 40 000 EOS были взяты из нашего денежного средства … Эта ошибка не была незначительной, как было заявлено ранее, и мы все еще проводим экспертизу и собираем то, что произошло».
Они добавили, что служба должна восстановить полную функциональность «относительно быстро» и что инцидент был вызван ошибкой в кодировании одной из их игр. Кроме того, похоже, что хакеры смогли нацелить множество игр с тем же кодом.
Похоже, что те, кто находился за атакой, смогли обмануть функцию денежных средств EOSBet, используя фальшивый хеш. Это открытие было впервые опубликовано членом сообщества EOSBet Reddit. Сообщение пользователя «thbourlove» показало код, используемый для использования этой уязвимости. Это было объявлено на официальном аккаунте платформы в Reddit:
«Да, нас взломали. Но у нас также есть это точное утверждение, которое вы делаете. Я был бы осторожен, это немного глубже, чем вы думаете».
Похоже, что те, кто отвечают за атаку, попытались сделать переводы с платформы на кошелек злоумышленника, выглядят законными, создав учетную запись, которая очень похожа на учетную запись официального кошелька EOSBet. Они получали небольшие транзакции с нескольких учетных записей, сопровождаемых следующим сообщением и другими подобными:
«Напоминание: пожалуйста, возместите незаконный доход, иначе мы будем нанимать команду юристов в Китае, чтобы преследовать вас всю уголовную ответственность и убытки. Eosbet официальная учетная запись eos: eosbetdicell. “
Предположительно, есть надежда, что выплата будет напоминать официальный возврат средств игрокам, пострадавшим от нарушения.
Хотя эти цифры намного меньше, инцидент слишком напоминает взлом DAO в сети Ethereum. Там была использована уязвимость смарт-контрактов, позволяющая злоумышленникам преодолевать миллион долларов инвесторов. Это был ответ, вызвавший появление вилки, создавшей Ethereum Classic. Понятно, что разработчики надеются, что в их dApps будут использоваться смарт-контракты.