Мошенники украли $58 000 у пользователей биржи с помощью 1 млрд фейковых токенов EOS
Из-за вопиющей уязвимости хакерам удалось наводнить псевдо-децентрализованную биржу 1 млрд фейковых токенов EOS и украсть $58 000 у её пользователей.
Злоумышленники выпустили токен на блокчейне EOS, который так и назвали: “EOS”. Затем они воспользовались сервисом Newdex, чтобы обменять его на токены BLACK, IQ и ADD. Компания подтвердила факт атаки.
«EOS-аккаунт oo1122334455 выпустил 1 000 000 000 фейковых токенов EOS», — пишет Newdex. «Протестировав возможность осуществления этой атаки, аккаунт начал размещать крупные ордера на покупку. Всего было размещено 11 800 ордеров с фейковыми EOS, чтобы обменять их на BLACK, IQ и ADD».
Затем мошенникам удалось выменять коллекцию полученных таким образом токенов на настоящую криптовалюту EOS. Newdex сообщает, что они вывели с торговой платформы 4 028 настоящих EOS (около $20 000) на биржу Bitfinex. Ущерб во всех токенах составил около $58 000.
Команда Newdex извинилась за инцидент, однако никаких обещаний касательно возмещения убытков не сделала.
Атака стала возможной в силу стечения двух факторов. Во-первых, любой желающий может выпустить на блокчейне EOS любой токен, даже под названием “EOS”. Во-вторых, Newdex не использует смарт-контракты. Таким образом, у компании просто нет инструмента для проверки аутентичности токена, который попадает на её площадку.
Как отмечает TheNextWeb, разработчики пытаются продвигать свою платформу на волне популярности децентрализованных бирж, в то время как на самом деле таковой её назвать довольно сложно. «Они обманным путём представляют Scatter как логин и трейдинговый интерфейс, чтобы вы думали, будто используете децентрализованную биржу. В действительности вы не отправляете свои средства на смарт-контракт, это обычный EOS-аккаунт, у которого даже нет смарт-контракта», — пишет пользователь Reddit.
TheNextWeb также обращает внимание на то, что Newdex использует один ключ для владельца аккаунта и активных разрешений. Таким образом, платформа не прибегает к распространённой среди бирж криптовалют практике по использованию мультиподписей и открывает ещё один путь для атаки, который, впрочем, в этом случае злоумышленникам использовать не потребовалось.
Фото: valzan
Подписывайтесь на наш Telegram и будьте в курсе всех новостей!
Источник: ttrcoin.com
