- Un hacker ha robado al menos 30.000 EOS a través de una aplicación de juegos de azar en la red EOS.
- Como resultado de la hazaña, la red EOS se sobrecargó.
- La causa del hacking no es una vulnerabilidad en la red, sino simplemente un error en el contrato inteligente de la aplicación de juegos de azar.
Como se informó ayer a través de Twitter, la red EOS, especialmente el juego de azar dApp EOSPlay, se ha convertido en el blanco de un ataque de hackers. En este contexto, los atacantes han capturado al menos 30.000 EOS. El exploit permitió al atacante ganar todos los juegos en EOSPlay «pagando» para llenar bloques con sus transacciones mientras la red EOS estaba muy sobrecargada.
Es importante saber que el error no es del software de EOS. Más bien, la causa está en los desarrolladores de EOSPlay. El ataque se ha detenido por el momento y la red ha vuelto a funcionar normalmente.
No obstante, debe evitarse EOSPlay hasta que se solucione el problema. Hasta que no haya una bifurcación o un parche, el exploit puede ser abusado si un atacante puede volver a apostar suficientes recursos de red EOS y EOS. Pero los propietarios de EOS no tienen que preocuparse. Su EOS no está en riesgo.
Attack stopped, network is back in a normal mode. >30K EOS stolen because of the vulnerability of DApp design. Not $EOS flaw. Just a smart-contract that was hacked.
To smart-contract devs:
1. Follow best security practices.
2. Do not rely on on-chain source of entropy in EOS.— Dexaran (@Dexaran) September 14, 2019
Y así es como funcionó el robo
Los atacantes alquilaron una cantidad considerable de recursos de CPU y red de EOS a través del intercambio de recursos EOSRex. Con los recursos alquilados y un estimado de 900.000 ciclos de EOS, el atacante fue capaz de manipular el juego de azar dApp para ganar cada juego.
Al apostar los recursos de la CPU y de la red por sí mismo y por el contrato inteligente atacado, el atacante pudo ejercer tanta presión sobre la red EOSIO que la red EOSIO se «congeló» y sólo procesó las transacciones del hacker mientras enviaba miles de EOS a su propia dirección de cartera. La sobrecarga significaba que sólo el hacker y la aplicación atacada tenían suficientes recursos de red.
Esto no sólo impidió que otros usuarios de la red EOS enviaran sus transacciones rápidamente, sino que también impidió que los desarrolladores de EOSPlay detuvieran el ataque tan pronto como se detectó.
El usuario de Twitter’retkit’ también proporcionó un buen resumen del incidente:
https://twitter.com/rektkid_/status/1172771309459255296
El precio de la EOS no se ha visto afectado y desde entonces ha subido un 9% en las últimas 24 horas hasta los 4,09 USD.