由于出现了一个严重的安全漏洞,10 亿个 EOS 假币流入了去中心化的代币交易平台。最终,攻击者直接从用户手中窃取了价值 5.8 万美元的加密货币。

攻击者创造了一种全新的 EOS 代币,并将其命名为「EOS」,在 Newdex 交易所买入了 BLACK、IQ 和 ADD 这三种代币。该公司随后证实了本次攻击。

EOS 账户 oo1122334455 发行了 10 亿个 EOS 假币。经测试发现攻击可行之后,该账户开始挂出大额买单,共有 11800 个 EOS 假币用于购买 BLACK、IQ 和 ADD 这三种代币。

攻击者最终成功用这些代币买入了 EOS。Newdex 透露,攻击者拿到了 4028 个 EOS (价值 2 万美元),并且转入了加密货币交易所 Bitfinex。Newdex dApp 用户因此承受了 5.8 万美元的损失。

Newdex 团队已经就本次事件公开道歉,但依然没有说明将如何补偿受影响的用户。

造成这个漏洞的原因有两点:首先,任何人都可以用 EOS 网络创建代币,命名也不受限制——很显然,就算你想叫自己的币「EOS」也不会有人反对。你只需要拥有一个 EOS 账户即可。

其次,Newdex 并没有使用智能合约。没有智能合约就不能确认特定加密货币的真实性。

这一切都是因为 Newdex 的开发者利用了去中心化交易所(DEX)这个噱头,把这个平台也包装成了一个 DEX。事实上,它只是伪装成一个资产交易所,背地里依然是由单个账户控制交易,非常的中心化。

而且某 reddit 网友其实在攻击之前就发现了这个平台的问题:

这个平台的登录和交易界面只是假象,让用户觉得自己在使用 DEX,但事实上你并未把资金发送到任何智能合约,只有一个很普通的 EOS 账户‘newdexpocket’,根本不是通过智能合约运作的。

经证实,这个「newdexpocket」账户根本不包含任何智能合约代码,因此,Newdex 的用户的资金只是在个人账户之间进行转移。

更糟糕的是,这个钱包的持有者和动态权限采用了同一个密钥。这就很容易造成单一攻击向量。大多数交易所至少还会用多重签名钱包。

不过本次攻击和密钥无关,只是因为这个交易所的开发者根本没有通过智能合约来保护用户资金。

链闻 ChainNews:提供每日不可或缺的区块链新闻。


原文作者:David Canellis
文章来源:巴比特
中文编译:Wendy
版权声明:文章为作者独立观点,不代表 链闻 ChainNews 立场。

来源链接:thenextweb.com