“去中心化交易所”混入EOS假幣,用戶損失數萬美元區塊鏈
EOS爆出一個嚴重的安全漏洞。
由于出現了一個嚴重的安全漏洞,10億個EOS假幣流入了去中心化的代幣交易平臺。最終,攻擊者直接從用戶手中竊取了價值5.8萬美元的加密貨幣。
攻擊者創造了一種全新的EOS代幣,并將其命名為“EOS”,在Newdex交易所買入了BLACK、IQ和ADD這三種代幣。該公司隨后證實了本次攻擊。
EOS賬戶oo1122334455發行了10億個EOS假幣。經測試發現攻擊可行之后,該賬戶開始掛出大額買單,共有11800個EOS假幣用于購買BLACK、IQ和ADD這三種代幣。
攻擊者最終成功用這些代幣買入了EOS。Newdex透露,攻擊者拿到了4028個EOS(價值2萬美元),并且轉入了加密貨幣交易所Bitfinex。Newdex dApp用戶因此承受了5.8萬美元的損失。
Newdex團隊已經就本次事件公開道歉,但依然沒有說明將如何補償受影響的用戶。
造成這個漏洞的原因有兩點:首先,任何人都可以用EOS網絡創建代幣,命名也不受限制——很顯然,就算你想叫自己的幣“EOS”也不會有人反對。你只需要擁有一個EOS賬戶即可。
其次,Newdex并沒有使用智能合約。沒有智能合約就不能確認特定加密貨幣的真實性。
這一切都是因為Newdex的開發者利用了去中心化交易所(DEX)這個噱頭,把這個平臺也包裝成了一個DEX。事實上,它只是偽裝成一個資產交易所,背地里依然是由單個賬戶控制交易,非常的中心化。
而且某reddit網友其實在攻擊之前就發現了這個平臺的問題:
這個平臺的登錄和交易界面只是假象,讓用戶覺得自己在使用DEX,但事實上你并未把資金發送到任何智能合約,只有一個很普通的EOS賬戶‘newdexpocket’,根本不是通過智能合約運作的。
經證實,這個“newdexpocket”賬戶根本不包含任何智能合約代碼,因此,Newdex的用戶的資金只是在個人賬戶之間進行轉移。
更糟糕的是,這個錢包的持有者和動態權限采用了同一個密鑰。這就很容易造成單一攻擊向量。大多數交易所至少還會用多重簽名錢包。
不過本次攻擊和密鑰無關,只是因為這個交易所的開發者根本沒有通過智能合約來保護用戶資金。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
