Мошенники украли $58 000 у пользователей биржи с помощью 1 млрд фейковых токенов EOS

Из-за вопиющей уязвимости хакерам удалось наводнить псевдо-децентрализованную биржу 1 млрд фейковых токенов EOS и украсть $58 000 у её пользователей.

Злоумышленники выпустили токен на блокчейне EOS, который так и назвали: “EOS”. Затем они воспользовались сервисом Newdex, чтобы обменять его на токены BLACK, IQ и ADD. Компания подтвердила факт атаки.

«EOS-аккаунт oo1122334455 выпустил 1 000 000 000 фейковых токенов EOS», - пишет Newdex. «Протестировав возможность осуществления этой атаки, аккаунт начал размещать крупные ордера на покупку. Всего было размещено 11 800 ордеров с фейковыми EOS, чтобы обменять их на BLACK, IQ и ADD».

Затем мошенникам удалось выменять коллекцию полученных таким образом токенов на настоящую криптовалюту EOS. Newdex сообщает, что они вывели с торговой платформы 4 028 настоящих EOS (около $20 000) на биржу Bitfinex. Ущерб во всех токенах составил около $58 000.

Команда Newdex извинилась за инцидент, однако никаких обещаний касательно возмещения убытков не сделала.

Атака стала возможной в силу стечения двух факторов. Во-первых, любой желающий может выпустить на блокчейне EOS любой токен, даже под названием “EOS”. Во-вторых, Newdex не использует смарт-контракты. Таким образом, у компании просто нет инструмента для проверки аутентичности токена, который попадает на её площадку.

Как отмечает TheNextWeb, разработчики пытаются продвигать свою платформу на волне популярности децентрализованных бирж, в то время как на самом деле таковой её назвать довольно сложно. «Они обманным путём представляют Scatter как логин и трейдинговый интерфейс, чтобы вы думали, будто используете децентрализованную биржу. В действительности вы не отправляете свои средства на смарт-контракт, это обычный EOS-аккаунт, у которого даже нет смарт-контракта», - пишет пользователь Reddit.

TheNextWeb также обращает внимание на то, что Newdex использует один ключ для владельца аккаунта и активных разрешений. Таким образом, платформа не прибегает к распространённой среди бирж криптовалют практике по использованию мультиподписей и открывает ещё один путь для атаки, который, впрочем, в этом случае злоумышленникам использовать не потребовалось.
Фото: valzan
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.