去中心化交易所Newdex安全事件分析

 前言：

前几天，号称能解决传统中心化交易所弊病，开创去中心化交易新时代的全球首家基于EOS搭建的去中心化交易所Newdex，被攻击了。

攻击的手段跟大名鼎鼎的日收万金的EOS大赌场——eosbet被攻击的手段是一样的。

​eosbet，一向以团队技术实力强劲，代码安全性、容错性高为业界佳话。凭借一款dice游戏，火遍全球，快速发展成全网第一的杀手DAPP。

同时，还有一个同样的dice游戏，不一样的项目方，排名稍微落后于bet。同一个黑客，使用同样的手段。转走大量EOS。

此时此刻，排名前十的EOS dapp，有3个倒在黑客的怀里脚下。

三天前，Newdex发出了被假EOS刷币事件的公告。

假EOS刷币事件始末

1.EOS账户“oo1122334455”于2018-09-14 14:01:45发行1000000000个假EOS，并全额分配给dapphub12345账户：

2.随即由dapphub12345转入iambillgates账户（实施攻击的账户）：

iambillgates账户于14:21:37尝试性的多次用1个假EOS挂单委托买入IPOS和ADD，并且成功以假EOS买入IPOS和ADD：

3.攻击可行性得到验证后，于14:31:34至14:45:41进行大额攻击，分多笔共11800假EOS挂市价单购买BLACK、IQ、ADD，且全部成交。

4.成功买入BLACK、IQ、ADD后，iambillgates账户立刻将非法获得的Token转入xx1234512345与x12345x12345账户，最终由xx1234512345在Newdex中挂市价单卖出部分非法获得的Token，共计卖得4028个真实EOS：

（部分截图）

5. Newdex在发现异常后，于15:52停止相关服务，立刻启动应急措施修复系统。于16:33完成修复，恢复正常运营。

6.最后攻击者账户xx1234512345于15:20:37、15:32:17、15:58:18分三次将非法获得的4028个真实EOS充值进Bitfinex交易所，剩余1877162.0000 IQ、701948.0000 ADD留存在xx1234512345中：

为什么win、eosbet等项目也会跟着被攻击？据相关安全技术人员表示，很可能是这些项目方，一起照搬了以下的代码片段：

可见这个问题，很有可能存在于很多项目里。于是，很多人开始发假币了，到各个DAPP试试，看能不能捡个漏。

结语

目前所知，此次假EOS刷币事件共给Newdex用户造成11803个EOS的损失，Newdex团队本着负责任的态度决定承担此次全部损失，并且也已经在第一时间修复相关问题并恢复正常运营。

这是开发者写的代码的问题。存在各种人为bug。各种匪夷所思的攻击手段。但是对EOS这个强大的公链基础设施的信仰不用动摇。

（编译：曲速未来安全区，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）