Nhờ có lỗ hổng bảo mật, các hacker đã ‘đổ bộ’ vào nền tảng giao dịch token “phi tập trung” với 1 tỷ EOS giả mạo ($ EOS ▼ 4.94%). Vào cuối phi vụ, những tên trộm đã có thể ăn cắp gần $ 58,000 tiền mã hóa trực tiếp từ người dùng.
Các hacker đã tạo ra một token dựa trên EOS mới, trớ trêu thay cũng có tên là “EOS” và sử dụng nó để mua trái phép các token BLACK, IQ và ADD từ sàn giao dịch Newdex. Công ty đã xác nhận vụ hack.
“Tài khoản EOS oo1122334455 đã phát hành 1,000,000,000 token EOS giả”, Newdex viết trong một tuyên bố. “Sau khi kiểm tra tính khả thi của vụ hack, tài khoản bắt đầu đặt [lệnh mua] số lượng lớn. Tổng cộng có 11,800 đơn đặt hàng EOS giả mạo được phát hành để mua BLACK, IQ [sic] và ADD”.
Những tên trộm cuối cùng đã đổi bộ sưu tập token giả thành tiền mã hóa EOS thật. Newdex sau đó tiết lộ những kẻ tấn công đã chuyển 4,028 EOS thật (khoảng $ 20,000) sang bàn giao dịch tiền mã hóa Bitfinex. Cuối cùng, những người dùng dApp Newdex đã phải đối mặt với thiệt hại, trị giá lên tới $ 58,000.
Mặc dù nhóm đã xin lỗi vì sự cố nhưng vẫn chưa có kế hoạch đền bù cho người dùng bị ảnh hưởng.
Lỗ hổng có vẻ như xuất phát từ hai nguyên nhân. Đầu tiên, bất kỳ ai cũng có thể tạo token bằng cách sử dụng EOS và họ có thể đặt tên theo bất kỳ thứ gì họ muốn – rất rõ ràng, ngay cả đó là “EOS”. Tất cả những gì bạn cần là có một tài khoản EOS.
Thứ hai, Newdex không sử dụng hợp đồng thông minh. Vâng, đúng vậy. Vì không có hợp đồng thông minh nên không có gì để xác nhận tính xác thực của tiền mã hóa đang được bơm vào.
Tất cả vấn đề này xuất phát từ việc các nhà phát triển dường như đang tận dụng sự cường điệu xoay quanh các sàn giao dịch phi tập trung (DEX), bằng cách tự tô điểm bản thân. Trên thực tế, nó chỉ là một tài khoản người dùng duy nhất xử lý các giao dịch dưới vỏ bọc là một sàn giao dịch tài sản – vâng, khá tập trung đấy ạ.
Cộng đồng thực sự đã chứng minh điều này chỉ vài ngày trước vụ hack:
[…] Họ cho rằng Scatter là giao diện đăng nhập và giao dịch, do đó bạn cảm thấy như đang sử dụng DEX. Trên thực tế, bạn không gửi tiền cho bất kỳ hợp đồng thông minh nào, đó chỉ là tài khoản EOS thông thường mà họ sở hữu ‘newdexpocket’, thậm chí không có hợp đồng thông minh chạy trên đó.
Điều này sau đó được chứng thực bởi Hard Fork. Hiện tại, tài khoản EOS “newdexpocket” – ví dApp Newdex đang hoạt động – không có mã hợp đồng thông minh được lập trình trong đó. Không có hợp đồng thông minh, người dùng Newdex chỉ đơn giản là gửi tiền vào tài khoản EOS cá nhân với hy vọng rằng các giao dịch sẽ được thực hiện đúng cách.
Còn điều gì có thể tồi tệ hơn khi dường như họ đang sử dụng cùng một khóa cho cả chủ sở hữu và quyền hoạt động của nó. Điều này tạo điều kiện cho một vector tấn công đơn lẻ có thể dễ dàng khai thác được. Để tham khảo, hầu hết các sàn giao dịch sử dụng ít nhất một ví đa chữ ký.
Dường như trong trường hợp này, các khóa không phải là mục tiêu – các hacker chỉ đơn giản là nhắm vào các lỗ hổng bảo mật được tạo ra bởi các nhà phát triển sàn giao dịch token quá cẩu thả trong việc lập một hợp đồng thông minh để bảo vệ người dùng.
Theo onet.vn/Thenextweb