警惕!黑客攻擊新手段:假EOS流入交易所區(qū)塊鏈
加密貨幣交易所被攻擊事件最近稍有平息,但近日又站在了風(fēng)口浪尖,這次倒不是因?yàn)橛直还簦且驗(yàn)榻灰姿霈F(xiàn)了“假冒的加密貨幣”,這個(gè)被假冒的加密貨幣就是大名鼎鼎的EOS。
加密貨幣交易所被攻擊事件最近稍有平息,但近日又站在了風(fēng)口浪尖,這次倒不是因?yàn)橛直还簦且驗(yàn)榻灰姿霈F(xiàn)了“假冒的加密貨幣”,這個(gè)被假冒的加密貨幣就是大名鼎鼎的EOS。
事情始末大致如下:
攻擊者創(chuàng)建出了一種基于EOS的通證,并將其也命名為“EOS”,其賬戶oo1122334455一共發(fā)行了10億個(gè)EOS假通證,經(jīng)測(cè)試發(fā)現(xiàn)可以“以假亂真”后,該賬戶開始大量下單買入,用11800個(gè)EOS假幣在去中心化交易所Newdex購(gòu)買了BLACK、IQ和ADD這三種加密貨幣,然后再轉(zhuǎn)換成了4028個(gè)真EOS,價(jià)值合計(jì)約2萬(wàn)美元,最后再轉(zhuǎn)入了加密貨幣交易所Bitfinex。Newdex平臺(tái)因此損失了約5.8萬(wàn)美元。
Newdex交易所已公開道歉,但用戶因此受到的損失賠償?shù)群罄m(xù)處理計(jì)劃還未公布。
看完我們不禁好奇:攻擊者是如何創(chuàng)造出假EOS的?Newdex交易平臺(tái)居然不能識(shí)別出假EOS?
【鏈知道】就此來為大家分析一下:
首先,EOS的特性決定任何人都可以使用EOS創(chuàng)建一個(gè)通證,而且命名不受任何限制,哪怕就命名為“EOS”也是可以的。攻擊者就是利用了EOS的這個(gè)漏洞。
其次,Newdex平臺(tái)對(duì)外聲稱是去中心化交易平臺(tái),實(shí)則不是,它并沒有使用智能合約,所以才無法識(shí)別加密貨幣的真?zhèn)巍F溆脩糍Y金只在個(gè)人賬戶之間進(jìn)行轉(zhuǎn)移,所以才給了攻擊者可趁之機(jī)。
曾有區(qū)塊鏈社區(qū)在Newdex被攻擊前幾天指出了其存在的問題:
用戶并沒有向任何智能合約發(fā)送資金,而是把資金發(fā)送給了一個(gè)名為newdexpocket的普通EOS賬戶,這個(gè)賬戶上沒有運(yùn)行任何一種智能合約,實(shí)際上只是一種可操作的Newdex dApp錢包。更為擔(dān)憂的是,newdexpocket賬戶的所有者和動(dòng)態(tài)權(quán)限使用的密匙是完全相同的,為不法分子創(chuàng)建了一個(gè)易于利用的單一攻擊途徑,要知道,大多數(shù)交易所至少都是使用具有多重簽名功能的錢包。
由此可見,Newdex并不是一個(gè)合格的去中心化交易所,安全漏洞問題有待解決。
雖然此次的損失數(shù)額并不是很大,但還是又一次給用戶造成了心理恐慌,對(duì)交易所的安全擔(dān)憂更加深一個(gè)層次。
在此,【鏈知道】提醒大家,在選擇交易所時(shí),不管是中心化交易所還是去中心化交易所,盡量選擇大型的、知名的交易所。當(dāng)然,在現(xiàn)階段盡量還是選擇中心化交易所,因?yàn)橄啾扔谥行幕灰姿ブ行幕灰姿壳斑€不成熟。
比較知名的中心化交易所有:OKEx、Bianance幣安、Huobi火幣、Bittrex、Coinbase、Kraken等;
比較知名的去中心化交易所有:Etherdelta 以德、bitshares 比特股、0x協(xié)議、KyberNetwork等。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
