Приложение для азартных игр, основанное на блокчейне EOS, имело недостаток в своей системе смарт-контрактов. Из-за уязвимости хакеры смогли украсть EOS на сумму $200 000.
EOSBet принимаются в автономном режиме после нарушения безопасности
Те, кто стоит за сегодняшней атакой, воспользовались слабостью в одном из лучших смарт-контрактов EOS. После инцидента сервис был отключен, в то время как разработчики пытались точно определить, как такая атака могла произойти.
Согласно отчету TheNextWeb, представитель EOSBet заявил:
«Несколько часов назад мы подверглись нападению, и около 40 000 EOS были взяты из нашего игрового фонда ... эта ошибка не была незначительной, как было указано ранее, и мы все еще проводим расследование и воссоздаем то, что произошло»
Они добавили, что сервис должен возобновить полную функциональность «относительно быстро» и что инцидент был вызван ошибкой в кодировании одной из их игр. Кроме того, похоже, что хакеры смогли нацелиться на многочисленные игры с одним и тем же кодом.
Похоже, что те, кто руководили атакой, смогли обмануть функцию денежных средств EOSBet, используя поддельный хэш. Это открытие было впервые обнародовано членом сообщества EOSBet Reddit. Сообщение пользователя «thbourlove» показало код, используемый для злоупотребления уязвимостью. На это ответил официальный аккаунт платформы Reddit:
«Да, нас взломали. Но у нас также есть это точное подтверждение того, что вы делаете. Я был бы осторожен, поскольку это немного серьезнее, чем вы думаете»
Похоже, что те, кто несет ответственность за атаку, попытались сделать переводы с платформы на кошелек злоумышленника законными, создав учетную запись, которая очень похожа на официальный кошелек EOSBet. Они получили небольшие транзакции с нескольких счетов, сопровождаемые следующим сообщением и другими подобными сообщениями:
«Уведомление: пожалуйста, верните незаконный доход EOS, в противном случае мы наймем команду юристов в Китае, чтобы привлечь вас к уголовной ответственности. Официальный аккаунт EOSBet: eosbetdicell»
Взяв отрывок из стратегии бот-мошенников Twitter, поддельная учетная запись отправила токены EOS нескольким учетным записям с таким сообщением:
«Уведомление: Уважаемые игроки: для того, чтобы компенсировать потерю игроков EOSBet от взлома, платформа запустила перезарядку для отправки BET. 1 EOS=1 BET, официальный аккаунт EOS: eosbetdicell, передача автоматически предоставит такую же ставку»
Предположительно, есть надежда, что выплата должна напоминать официальный возврат для игроков, пострадавших от нарушения.
Несмотря на то, что участников значительно меньше, этот инцидент очень напоминает взлом DAO в сети Ethereum. Там была использована уязвимость смарт-контракта, позволяющая злоумышленникам уйти с миллионами долларов ETH токенов инвесторов. Это стало причиной появления форка, создавшего Ethereum Classic. Очевидно, что разработчики, надеющиеся использовать смарт-контракты в своих приложениях, должны проявлять гораздо большую осторожность.
Подписывайтесь на канал или соц. сети, чтобы быть в курсе последних событий. Twitter ВКонтакте Facebook