TMT观察网_独特视角观察TMT行业

前言：

智能合約安全咨詢公司 曲速未來 消息：前幾天，號(hào)稱能解決傳統(tǒng)中心化交易所弊病,開創(chuàng)去中心化交易新時(shí)代的全球首家基于EOS搭建的去中心化交易所Newdex，被攻擊了。

攻擊的手段跟大名鼎鼎的日收萬金的EOS大賭場(chǎng)——eosbet被攻擊的手段是一樣的。

eosbet，一向以團(tuán)隊(duì)技術(shù)實(shí)力強(qiáng)勁，代碼安全性、容錯(cuò)性高為業(yè)界佳話。憑借一款dice游戲，火遍全球，快速發(fā)展成全網(wǎng)第一的殺手DAPP。

同時(shí)，還有一個(gè)同樣的dice游戲，不一樣的項(xiàng)目方，排名稍微落后于bet。同一個(gè)黑客，使用同樣的手段。轉(zhuǎn)走大量EOS。

此時(shí)此刻，排名前十的EOS dapp，有3個(gè)倒在黑客的懷里腳下。

三天前，Newdex發(fā)出了被假EOS刷幣事件的公告。

一. 假EOS刷幣事件始末

1.EOS賬戶“oo1122334455”于2018-09-14 14:01:45發(fā)行1000000000個(gè)假EOS，并全額分配給dapphub12345賬戶：

2.隨即由dapphub12345轉(zhuǎn)入iambillgates賬戶（實(shí)施攻擊的賬戶）：

iambillgates賬戶于14:21:37嘗試性的多次用1個(gè)假EOS掛單委托買入IPOS和ADD，并且成功以假EOS買入IPOS和ADD：

3.攻擊可行性得到驗(yàn)證后，于14:31:34至14:45:41進(jìn)行大額攻擊，分多筆共11800假EOS掛市價(jià)單購買BLACK、IQ、ADD，且全部成交。

4.成功買入BLACK、IQ、ADD后，iambillgates賬戶立刻將非法獲得的Token轉(zhuǎn)入xx1234512345與x12345x12345賬戶，最終由xx1234512345在Newdex中掛市價(jià)單賣出部分非法獲得的Token，共計(jì)賣得4028個(gè)真實(shí)EOS：

（部分截圖）

5. Newdex在發(fā)現(xiàn)異常后，于15:52停止相關(guān)服務(wù)，立刻啟動(dòng)應(yīng)急措施修復(fù)系統(tǒng)。于16:33完成修復(fù)，恢復(fù)正常運(yùn)營(yíng)。

6.最后攻擊者賬戶xx1234512345于15:20:37、15:32:17、15:58:18分三次將非法獲得的4028個(gè)真實(shí)EOS充值進(jìn)Bitfinex交易所，剩余1877162.0000 IQ、701948.0000 ADD留存在xx1234512345中：

為什么win、eosbet等項(xiàng)目也會(huì)跟著被攻擊？據(jù)相關(guān)安全技術(shù)人員表示，很可能是這些項(xiàng)目方，一起照搬了以下的代碼片段：

可見這個(gè)問題，很有可能存在于很多項(xiàng)目里。于是，很多人開始發(fā)假幣了，到各個(gè)DAPP試試，看能不能撿個(gè)漏。

結(jié)果

DAPP安全咨詢公司 曲速未來 表示：目前所知，此次假EOS刷幣事件共給Newdex用戶造成11803個(gè)EOS的損失，Newdex團(tuán)隊(duì)本著負(fù)責(zé)任的態(tài)度決定承擔(dān)此次全部損失，并且也已經(jīng)在第一時(shí)間修復(fù)相關(guān)問題并恢復(fù)正常運(yùn)營(yíng)。

這些事，是開發(fā)者寫的代碼的問題。存在各種人為bug。各種匪夷所思的攻擊手段。但是呢還是對(duì)EOS這個(gè)強(qiáng)大的公鏈基礎(chǔ)設(shè)施的信仰不用動(dòng)搖。

本文內(nèi)容由 曲速未來安全咨詢公司整理編譯，轉(zhuǎn)載請(qǐng)注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發(fā)安全、智能合約開發(fā)安全等相關(guān)區(qū)塊鏈安全咨詢服務(wù)。