В прошлую пятницу децентрализованная биржа Newdex подверглась спуфинг-атаке. Злоумышленники «подделали» токен EOS, после чего разместили ордера на покупку BLACK, IQ и ADD. Общий ущерб, нанесённый бирже, составляет около $58 000.

Хакеры воспользовались изъяном системы безопасности, благодаря чему им удалось создать на блокчейне eosio свой токен и присвоить ему ту же кодификацию, что и у оригинального нативного токена. В официальном заявлении Newdex подтвердила факт взлома и поделилась техническими деталями:

«EOS-аккаунт с адресом oo1122334455 сгенерировал 1 миллиард фальшивых токенов. Убедившись в целесообразности атаки, владельцы аккаунта начали размещать крупные ордера на покупку. Всего для приобретения BLACK, IQ [sic] and ADD было выпущено и потрачено 11 800 поддельных токенов EOS».

В дальнейшем хакеры обменяли фальшивые токены на настоящие и перевели украденные активы на Bittrex-аккаунт. Всего им удалось вывести, помимо указанных выше единиц, 4028 EOS на сумму $21 828 (по курсу на момент публикации). Все активы были украдены непосредственно с кошельков пользователей Newdex. Биржа пока не объявила о порядке возмещения ущерба, однако заверила трейдеров, что «их средства в безопасности», а «хакеры уже обнаружены».

Дополнительным фактором, обеспечившим успех кражи, является отсутствие на бирже верификации транзакций с помощью смарт-контрактов. По сути, пользователи напрямую пересылают друг другу средства без какой-либо гарантии, что операция будет успешно обработана. Кроме того, из-за конфигурации кошельков eosio (запросы на транзакцию не требуют разных подписей) злоумышленникам удалось вывести средства, используя один и тот же ключ.

Вопрос об уязвимости сети EOS уже неоднократно поднимался пользователями. Ранее технический директор компании Дэн Лаример (Dan Larimer) намеревался исправить организационные и технические корни проблемы за счёт введения новой «конституции» — свода внутренних правил EOS.