由於出現了一個嚴重的安全漏洞,10 億個 EOS 假幣流入了去中心化的代幣交易平臺。最終,攻擊者直接從用戶手中竊取了價值 5.8 萬美元的加密貨幣。

攻擊者創造了一種全新的 EOS 代幣,並將其命名爲「EOS」,在 Newdex 交易所買入了 BLACK、IQ 和 ADD 這三種代幣。該公司隨後證實了本次攻擊。

EOS 賬戶 oo1122334455 發行了 10 億個 EOS 假幣。經測試發現攻擊可行之後,該賬戶開始掛出大額買單,共有 11800 個 EOS 假幣用於購買 BLACK、IQ 和 ADD 這三種代幣。

攻擊者最終成功用這些代幣買入了 EOS。Newdex 透露,攻擊者拿到了 4028 個 EOS (價值 2 萬美元),並且轉入了加密貨幣交易所 Bitfinex。Newdex dApp 用戶因此承受了 5.8 萬美元的損失。

Newdex 團隊已經就本次事件公開道歉,但依然沒有說明將如何補償受影響的用戶。

造成這個漏洞的原因有兩點:首先,任何人都可以用 EOS 網絡創建代幣,命名也不受限制——很顯然,就算你想叫自己的幣「EOS」也不會有人反對。你只需要擁有一個 EOS 賬戶即可。

其次,Newdex 並沒有使用智能合約。沒有智能合約就不能確認特定加密貨幣的真實性。

這一切都是因爲 Newdex 的開發者利用了去中心化交易所(DEX)這個噱頭,把這個平臺也包裝成了一個 DEX。事實上,它只是僞裝成一個資產交易所,背地裏依然是由單個賬戶控制交易,非常的中心化。

而且某 reddit 網友其實在攻擊之前就發現了這個平臺的問題:

這個平臺的登錄和交易界面只是假象,讓用戶覺得自己在使用 DEX,但事實上你並未把資金髮送到任何智能合約,只有一個很普通的 EOS 賬戶‘newdexpocket’,根本不是通過智能合約運作的。

經證實,這個「newdexpocket」賬戶根本不包含任何智能合約代碼,因此,Newdex 的用戶的資金只是在個人賬戶之間進行轉移。

更糟糕的是,這個錢包的持有者和動態權限採用了同一個密鑰。這就很容易造成單一攻擊向量。大多數交易所至少還會用多重簽名錢包。

不過本次攻擊和密鑰無關,只是因爲這個交易所的開發者根本沒有通過智能合約來保護用戶資金。

鏈聞 ChainNews:提供每日不可或缺的區塊鏈新聞。

原文作者:David Canellis
文章來源:巴比特
中文編譯:Wendy
版權聲明:文章爲作者獨立觀點,不代表 鏈聞 ChainNews 立場。

來源鏈接:thenextweb.com