“去中心化交易所”混入EOS假幣,用戶損失數(shù)萬(wàn)美元區(qū)塊鏈
EOS爆出一個(gè)嚴(yán)重的安全漏洞。
由于出現(xiàn)了一個(gè)嚴(yán)重的安全漏洞,10億個(gè)EOS假幣流入了去中心化的代幣交易平臺(tái)。最終,攻擊者直接從用戶手中竊取了價(jià)值5.8萬(wàn)美元的加密貨幣。
攻擊者創(chuàng)造了一種全新的EOS代幣,并將其命名為“EOS”,在Newdex交易所買入了BLACK、IQ和ADD這三種代幣。該公司隨后證實(shí)了本次攻擊。
EOS賬戶oo1122334455發(fā)行了10億個(gè)EOS假幣。經(jīng)測(cè)試發(fā)現(xiàn)攻擊可行之后,該賬戶開(kāi)始掛出大額買單,共有11800個(gè)EOS假幣用于購(gòu)買BLACK、IQ和ADD這三種代幣。
攻擊者最終成功用這些代幣買入了EOS。Newdex透露,攻擊者拿到了4028個(gè)EOS(價(jià)值2萬(wàn)美元),并且轉(zhuǎn)入了加密貨幣交易所Bitfinex。Newdex dApp用戶因此承受了5.8萬(wàn)美元的損失。
Newdex團(tuán)隊(duì)已經(jīng)就本次事件公開(kāi)道歉,但依然沒(méi)有說(shuō)明將如何補(bǔ)償受影響的用戶。
造成這個(gè)漏洞的原因有兩點(diǎn):首先,任何人都可以用EOS網(wǎng)絡(luò)創(chuàng)建代幣,命名也不受限制——很顯然,就算你想叫自己的幣“EOS”也不會(huì)有人反對(duì)。你只需要擁有一個(gè)EOS賬戶即可。
其次,Newdex并沒(méi)有使用智能合約。沒(méi)有智能合約就不能確認(rèn)特定加密貨幣的真實(shí)性。
這一切都是因?yàn)镹ewdex的開(kāi)發(fā)者利用了去中心化交易所(DEX)這個(gè)噱頭,把這個(gè)平臺(tái)也包裝成了一個(gè)DEX。事實(shí)上,它只是偽裝成一個(gè)資產(chǎn)交易所,背地里依然是由單個(gè)賬戶控制交易,非常的中心化。
而且某reddit網(wǎng)友其實(shí)在攻擊之前就發(fā)現(xiàn)了這個(gè)平臺(tái)的問(wèn)題:
這個(gè)平臺(tái)的登錄和交易界面只是假象,讓用戶覺(jué)得自己在使用DEX,但事實(shí)上你并未把資金發(fā)送到任何智能合約,只有一個(gè)很普通的EOS賬戶‘newdexpocket’,根本不是通過(guò)智能合約運(yùn)作的。
經(jīng)證實(shí),這個(gè)“newdexpocket”賬戶根本不包含任何智能合約代碼,因此,Newdex的用戶的資金只是在個(gè)人賬戶之間進(jìn)行轉(zhuǎn)移。
更糟糕的是,這個(gè)錢包的持有者和動(dòng)態(tài)權(quán)限采用了同一個(gè)密鑰。這就很容易造成單一攻擊向量。大多數(shù)交易所至少還會(huì)用多重簽名錢包。
不過(guò)本次攻擊和密鑰無(wú)關(guān),只是因?yàn)檫@個(gè)交易所的開(kāi)發(fā)者根本沒(méi)有通過(guò)智能合約來(lái)保護(hù)用戶資金。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
