黑客竊取價值 20 萬美元的 EOS,dApp 存在智能合約缺陷

黑客竊取價值 20 萬美元的 EOS,dApp 存在智能合約缺陷

一個基於 EOS 區塊鏈的賭博應用程序在其智能合約系統中存在缺陷。 由於該漏洞,黑客能夠竊取價值 200,000 美元的 EOS。

今天攻擊的幕後黑手利用了 EOSBet 平台智能合約之一的弱點。 事件發生後,該服務被下線,而開發人員試圖查明這種攻擊是如何可能發生的。

根據 TheNextWeb 的一份報告,EOSBet 發言人表示:

‘[幾個小時前,我們遭到了攻擊,我們的資金中約有40000EOS被盜這個漏洞並不像之前所說的那麼小,我們仍在進行取證並拼湊發生的事情。[Afewhoursagowewereattackedandabout40000EOSwastakenfromourbankroll…Thisbugwasnotminoraswasstatedpreviouslyandwearestilldoingforensicsandpiecingtogetherwhathappened’

他們補充說,該服務應該“相對較快地”恢復全部功能,並且該事件是由他們的一款遊戲的編碼錯誤引起的。 此外,黑客似乎能夠使用相同的代碼針對眾多遊戲。

攻擊背後的人似乎能夠通過使用虛假哈希來欺騙 EOSBet 的轉移資金功能。 這一發現首先由 EOSBet Reddit 社區的一名成員公開。 用戶“thbourlove”的帖子顯示了用於利用該漏洞的代碼。 該平台的 Reddit 官方賬號對此做出了回應:

“是的,我們被黑了。 但是我們也有你所做的確切斷言。 我會小心的,它比你想像的要深一點。”

似乎應對攻擊負責的人試圖通過創建一個看起來與官方 EOSBet 錢包非常相似的帳戶,使從平台轉移到攻擊者的錢包看起來是合法的。 他們收到來自多個賬戶的小額交易,並附有以下消息和其他類似消息:

“備忘:請退還違法所得eos,否則我們將聘請中國律師團隊,追究您的一切刑事責任和損失。 Eosbet官方eos賬號:eosbetdicell。”

從 Twitter 機器人騙子在許多錢包中散佈不正當收益的劇本中吸取教訓,然後該假賬戶向多個賬戶發送了許多少量 EOS 代幣,並帶有以下消息:

備忘:各位玩家:為了彌補eosbet玩家在黑客事件中的損失,平台發起充值送BET。 1EOS=1BET,eos官方賬號:eosbetdicell,轉賬會自動給同一個BET。”

據推測,希望這筆款項類似於對受違規影響的玩家的官方退款。

雖然涉及的數字要小得多,但這一事件讓人想起以太坊網絡上的 DAO 黑客攻擊。 在那裡,一個智能合約漏洞被利用,允許攻擊者從投資者那裡竊取數百萬美元的 ETH 代幣。 正是這個響應導致了創建以太坊經典的分叉。 顯然,希望在其 dApp 中使用智能合約的開發人員需要更加小心。

Leave a Reply

Your email address will not be published. Required fields are marked *