Хакеры ограбили «децентрализованную» биржу с помощью фейковых EOS

Благодаря серьезной уязвимости в безопасности хакеры наводнили «децентрализованную» торговую платформу Newdex 1 миллиардом поддельных монет EOS. В результате атаки смогли похитить у пользователей около 58 тысяч долларов в цифровых валютах, – об этом пишет издание The Next Web.

Злоумышленники создали в сети EOS новую монету, которую, не мудрствуя лукаво назвали также EOS. С ее помощью они приобретали у клиентов Newdex монеты ADD, IQ, BLACK.

Владельцы площадки уже подтвердили взлом и принесли свои извинения за случившийся инцидент. Тем не менее планы о том собираются ли они возмещать пользователям потери и каким образом, не раскрывают.

«Учетная запись оо1122334455 в сети EOS создала 1 миллиард поддельных монет EOS. Сперва злоумышленники проверили или атака сработает, а после начали размещать крупные заказы на покупку. В целом на приобретение BLAC, ADD и IQ было выставлено заявок на сумму более чем 11 тысяч фейковых токенов EOS», – сказано в заявлении компании.

Приобретенные криптовалюты хакеры впоследствии обменивали на настоящие EOS через торговую площадку Bitfinex. Всего им удалось таким образом «заработать» более 57 тысяч долларов.

Предпосылками к инциденту стали две вещи. Во-первых, в сети EOS создавать токены может кто-угодно, и называть их можно тоже как-угодно, как видим, не запрещено даже брать наименование «EOS».

Кроме того, платформа Newdex как выяснилось в своей работе не использует умные контракты. А нет смарт-контрактов – некому проверять подлинность криптовалют, заводимых на площадку.

Иными словами, Newdex под шумиху называет себя децентрализованной биржей на деле не являясь таковой. Это скорее централизованный сервис, который состоит из одной учетной записи, обрабатывающей сделки.

За несколько дней до атаки это обнаружили и пользователи сообщества.

«Они предлагают обманчивый интерфейс благодаря которому кажется, что имеешь дело с DEX. На деле вы не переводите деньги в смарт-контракт, это просто стандартный аккаунт сети EOS, который не работает на основе умного контракта», – пишут пользователи на Reddit.

Более того, похоже он применяет одинаковый ключ как для собственника, так и для других активных прав на доступ. Это представляет отличную возможность для проведения атаки. К слову, большинство обменных сервисов используют по крайней мере кошельки с мультиподписью.






Добавить комментарий

Ваш e-mail не будет опубликован.