去中心化交易所Newdex安全事件分析

曲速未来安全区
曲速未来安全区 机构得得号

Sep 20, 2018 专注于为读者提供区块链安全领域最新讯息

摘要: 去中心化交易所Newdex遭到攻击,此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,Newdex团队本着负责任的态度决定承担此次全部损失。

 前言:

前几天,号称能解决传统中心化交易所弊病,开创去中心化交易新时代的全球首家基于EOS搭建的去中心化交易所Newdex,被攻击了。

攻击的手段跟大名鼎鼎的日收万金的EOS大赌场——eosbet被攻击的手段是一样的。

​eosbet,一向以团队技术实力强劲,代码安全性、容错性高为业界佳话。凭借一款dice游戏,火遍全球,快速发展成全网第一的杀手DAPP。

同时,还有一个同样的dice游戏,不一样的项目方,排名稍微落后于bet。同一个黑客,使用同样的手段。转走大量EOS。

此时此刻,排名前十的EOS dapp,有3个倒在黑客的怀里脚下。

三天前,Newdex发出了被假EOS刷币事件的公告。

假EOS刷币事件始末

1.EOS账户“oo1122334455”于2018-09-14 14:01:45发行1000000000个假EOS,并全额分配给dapphub12345账户:

2.随即由dapphub12345转入iambillgates账户(实施攻击的账户):

iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD,并且成功以假EOS买入IPOS和ADD:

3.攻击可行性得到验证后,于14:31:34至14:45:41进行大额攻击,分多笔共11800假EOS挂市价单购买BLACK、IQ、ADD,且全部成交。

4.成功买入BLACK、IQ、ADD后,iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户,最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token,共计卖得4028个真实EOS:

(部分截图)

5. Newdex在发现异常后,于15:52停止相关服务,立刻启动应急措施修复系统。于16:33完成修复,恢复正常运营。

6.最后攻击者账户xx1234512345于15:20:37、15:32:17、15:58:18分三次将非法获得的4028个真实EOS充值进Bitfinex交易所,剩余1877162.0000 IQ、701948.0000 ADD留存在xx1234512345中:

为什么win、eosbet等项目也会跟着被攻击?据相关安全技术人员表示,很可能是这些项目方,一起照搬了以下的代码片段:

可见这个问题,很有可能存在于很多项目里。于是,很多人开始发假币了,到各个DAPP试试,看能不能捡个漏。

结语

目前所知,此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失,Newdex团队本着负责任的态度决定承担此次全部损失,并且也已经在第一时间修复相关问题并恢复正常运营。

这是开发者写的代码的问题。存在各种人为bug。各种匪夷所思的攻击手段。但是对EOS这个强大的公链基础设施的信仰不用动摇。

(编译:曲速未来安全区,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)

链得得仅提供相关信息展示,不构成任何投资建议
本文系作者 曲速未来安全区 授权链得得发表,并经链得得编辑,转载请注明出处、作者和本文链接

更多精彩内容,关注链得得微信号(ID:ChainDD),或者下载链得得App

分享到:

相关推荐

    评论(0

    Oh! no

    您是否确认要删除该条评论吗?

    分享到微信