Nhờ vào một lỗ hổng bảo mật, các hacker đã “xả ngập” sàn giao dịch “phi tập trung” Newdex bằng 1 tỷ token EOS giả. Những tên hacker này sau đó đã trộm gần 58.000 USD tiền điện tử trực tiếp từ người dùng.
- “Thánh nhọ” Doublelift bị đánh cắp 200.000 USD tiền điện tử trên Coinbase
- $240,000 tiền EOS bị đánh cắp sau vụ hack hợp đồng thông minh dApp
Newdex dính “cú lừa” 1 tỉ EOS giả
Về cơ bản, lũ tin tặc đã tạo ra một token mới dựa trên nền tảng EOS nhưng “tình cờ” thay, token này cũng lại có tên là EOS. Bọn hacker đã sử dụng chỗ token EOS giả để mua trái phép các token BLACK, IQ và ADD từ sàn giao dịch “phân quyền” Newdex. Công ty cũng đã chính thức xác nhận về vụ hack này.
Newdex thông tin về vụ việc:
Tài khoản EOS oo1122334455 đã phát hành 1.000.000.000 token EOS giả. Sau khi vượt qua được vòng bảo mật kiểm tra của sàn, tài khoản bắt đầu đặt lệnh mua cực lớn. Tổng cộng có 11.800 lệnh EOS giả được đặt để mua các token BLACK, IQ và ADD.
Bọn tội phạm sau đó đã mang chỗ token vừa kiếm được để bán lại và đổi về EOS thật. Newdex đã tiết lộ những tên hack đã tuồn thành công 4,028 EOS thật (trị giá 20.000 USD) sang sàn giao dịch tiền điện tử Bitfinex. Cuối cùng, đó là người dùng của Newdex dApp đã phải chịu mức thiệt hại trị giá khoảng 58.000 USD.
Trong khi đội ngũ đã phải xin lỗi vì sự cố trên nhưng hiện vẫn chưa có kế hoạch đền bù cho người dùng bị ảnh hưởng sau.
Nguyên nhân bắt nguồn từ đâu?
Lỗ hổng có vẻ như xuất phát từ hai thứ. Đầu tiên, bất kỳ ai cũng có thể tạo token trên nền tảng EOS và họ có thể đặt bất kỳ tên nào họ muốn – và rõ ràng là trong đó có cả từ “EOS.” Và sau đó tất cả những gì bạn cần là lập tài khoản EOS.
Thứ hai, Newdex không sử dụng hợp đồng thông minh,và đúng vì không có hợp đồng thông minh nên không có gì để xác nhận tính xác thực của đồng tiền điện tử nào đang được gửi vào.
Lý do Newdex không dùng hợp đồng thông minh là có thể do “cơn sốt” của các sàn giao dịch phi tập trung (DEX). Trong thực tế, nó chỉ là một tài khoản người dùng duy nhất xử lý các giao dịch dưới vỏ bọc là một sàn giao dịch – khá tập trung.
Cộng đồng thực sự đã chứng minh được điều này chỉ vài ngày trước cuộc tấn công:
Họ đã lừa chúng ta bằng cách có dựng lên giao diện đăng nhập và giao dịch, do đó bạn cảm thấy như đang sử dụng DEX. Nhưng thực tế, bạn không gửi tiền cho bất kỳ hợp đồng thông minh nào, đó chỉ là tài khoản EOS thông thường mà họ sở hữu tên “newdexpocket”, thậm chí còn không có hợp đồng thông minh trong đó.”
Theo thông tin đã được xác nhận bởi Hard Fork, bởi tài khoản EOS “newdexpocket” – ví chủ của dApp Newdex – không có chứa bất kỳ dòng code hợp đồng thông minh nào. Người dùng Newdex chỉ đơn giản là gửi tiền vào tài khoản EOS với suy nghĩ rằng các giao dịch sẽ được thực hiện đúng cách như có hợp đồng thông minh.
Tệ hơn là có vẻ như cùng một private key đang được sử dụng. Điều này tạo ra một hướng tấn công độc đạo mà bọn tin tặc có thể dễ dàng tận dụng được. Để so sánh thì hầu hết các sàn giao dịch lớn đều đang sử dụng ít nhất một ví đa chữ ký (multi-sig wallet) để tăng cường mức độ bảo mật an ninh.
Rấ may là trong trường hợp này, lũ tội phạm không chủ đích tấn công nhằm cướp đoạt private key, mà thay vào đó chỉ là tận dụng những lỗ hổng bảo mật để lại bởi các nhà phát triển sàn giao dịch Newdex khi đã quá bất cẩn, không thèm lập dù chỉ một hợp đồng thông minh để bảo vệ người dùng.
Theo TheNextWeb