Мысль злоумышленников не знает отдыха — очередной случай взлома обменника Newdex, позиционирующего себя как первая децентрализованная биржа c базовой валютой EOS, служит тому отличным подтверждением.
Улов хакеров оказался сравнительно небольшим, около $58 тыс., но зато замысел и его исполнение — достаточно необычными.
Все произошло 14 сентября: злоумышленники выпустили 1 млрд фальшивых токенов EOS, которые хлынули на криптообменник, формируя тысячи таких же фальшивых, но с виду ничем не отличающихся от настоящих, ордеров.
Хакеры обменивали свои псевдо-токены EOS на токены IQ, BLACK, и ADD, часть которых затем обменяли на настоящие EOS на криптобирже Bitfinex.
Этот случай достаточно отчетливо обрисовал два любопытных факта: во-первых, кто угодно, оказывается, может создать собственные токены на платформе EOS и присвоить им любое имя, в том числе совпадающее с уже существующими токенами.
Во-вторых, выяснилось, что Newdex либо вообще не использует смарт-контракты, либо они не работают должным образом. Миллиард фальшивых токенов, возникших из ниоткуда, прошел абсолютно незамеченным для системы безопасности.
Впрочем, еще накануне инцидента в сообществе возникли подозрения относительно того, что Newdex только изображает из себя децентрализованную биржу, используя характерный для биржи интерфейс и процедуры. На самом же деле пользователи просто перечисляют средства на обычные аккаунты EOS без использования смарт-контрактов, то есть не получая никаких подтверждений того, что их транзакции действительно происходят и являются официальными.
Поневоле вспоминается, что этим летом профессор Эмин Гюн Сирер пророчил, что объектом массового взлома вскоре станут криптобиржи, торгующие EOS. Главная проблема сервиса, по мнению Гюн Сирера, — модель управления платформой, недостатки которой проявились во время запуска основной сети.
Исправление уязвимостей по мере их возникновения — плохая практика: этот метод не будет срабатывать постоянно, убежден эксперт.
