不说谎的创新经济媒体,致力于发现创新公司,服务创新公司,旗下产品覆盖150万+新经济用户,单周全网分发量可达1500万,已完成真格基金、软银中国、险峰、BAI等顶级机构的5轮融资。
4
分享

热点 | 10亿个EOS假币流入市场

Newdex dApp用户因此承受了5.8万美元的损失。

来源 | 51币读

9月19日,由于出现了一个严重的安全漏洞,10亿个EOS假币流入了去中心化的代币交易平台。最终,攻击者直接从用户手中窃取了价值5.8万美元的加密货币。

攻击者创造了一种全新的EOS代币,并将其命名为“EOS”。

EOS账户oo1122334455发行了10亿个EOS假币。经测试发现攻击可行之后,该账户开始挂出大额买单,共有11800个EOS假币用于购买BLACK、IQ和ADD这三种代币。

攻击者最终成功用这些代币买入了EOS。

Newdex透露,攻击者拿到了4028个EOS(价值2万美元),并且转入了加密货币交易所Bitfinex。

Newdex dApp用户因此承受了5.8万美元的损失。

Newdex团队已经就本次事件公开道歉,但依然没有说明将如何补偿受影响的用户。

造成这个漏洞的原因有两点:首先,任何人都可以用EOS网络创建代币,命名也不受限制——很显然,就算你想叫自己的币“EOS”也不会有人反对。你只需要拥有一个EOS账户即可。

其次,Newdex并没有使用智能合约。没有智能合约就不能确认特定加密货币的真实性。

这一切都是因为Newdex的开发者利用了去中心化交易所(DEX)这个噱头,把这个平台也包装成了一个DEX。事实上,它只是伪装成一个资产交易所,背地里依然是由单个账户控制交易,非常的中心化。

而且某reddit网友其实在攻击之前就发现了这个平台的问题:

这个平台的登录和交易界面只是假象,让用户觉得自己在使用DEX,但事实上你并未把资金发送到任何智能合约,只有一个很普通的EOS账户‘newdexpocket’,根本不是通过智能合约运作的。

经证实,这个“newdexpocket”账户根本不包含任何智能合约代码,因此,Newdex的用户的资金只是在个人账户之间进行转移。

更糟糕的是,这个钱包的持有者和动态权限采用了同一个密钥。这就很容易造成单一攻击向量。大多数交易所至少还会用多重签名钱包。

不过本次攻击和密钥无关,只是因为这个交易所的开发者根本没有通过智能合约来保护用户资金。

QBD编辑 | 南柯

优质项目“融资首发绿色通道”:创业者请加微信F2358974923,务必注明项目名称;或发送BP至xueting@pencilnews.cn。

此文版权归原作者所有,非铅笔道原创,不对文中观点和真实性负责,内容仅供读者参考。

您可能感兴趣的文章
发表评论

所有评论

联系创业者

close

创业者需要验证您的身份,请输入您的请求信息:

0/200

进入个人中心-联络人,即可查看请求结果

取消
确定

提示信息

close

您还未认证身份,暂时无法和ta联系!请尽快前往个人中心进行创投认证哦。

去认证咯
还是算了
联系方式
电话
拨打电话
邮箱
复制到剪切板
微信
复制到剪切板

查看所有联系人

下载铅笔道APP
下载铅笔道APP
下载铅笔道APP
下载铅笔道APP
关闭二维码