- Um hacker roubou pelo menos 30.000 EOS através de um aplicativo de jogo na rede EOS.
- Como resultado do feito, a rede EOS foi sobrecarregada.
- A causa do hacking não é uma vulnerabilidade na rede, mas simplesmente um erro no contrato inteligente do aplicativo de jogo.
Conforme relatado no Twitter ontem, a rede EOS, especialmente o dApp EOSPlay, tornou-se alvo de um ataque de hackers. Nesse contexto, os atacantes capturaram pelo menos 30.000 EOS. A exploração permitiu que o invasor ganhasse todos os jogos no EOSPlay “pagando” para preencher os blocos com suas transações enquanto a rede EOS estava sobrecarregada.
É importante saber que o erro não é um erro no software EOS. Pelo contrário, a causa está nos desenvolvedores do EOSPlay. O ataque parou no momento e a rede retornou à operação normal.
No entanto, o EOSPlay deve ser evitado até que o problema seja resolvido. Até que haja uma bifurcação ou patch, a exploração poderá ser abusada se um invasor puder apostar novamente recursos de rede EOS e EOS suficientes. Mas os proprietários de EOS não precisam se preocupar. Seu EOS não está em risco.
Attack stopped, network is back in a normal mode. >30K EOS stolen because of the vulnerability of DApp design. Not $EOS flaw. Just a smart-contract that was hacked.
To smart-contract devs:
1. Follow best security practices.
2. Do not rely on on-chain source of entropy in EOS.— Dexaran (@Dexaran) September 14, 2019
E foi assim que o assalto funcionou
Os invasores alugaram uma quantidade considerável de CPU EOS e recursos de rede através da troca de recursos EOSRex. Com recursos alugados e um número estimado de 900.000 ciclos de EOS, o invasor conseguiu manipular o jogo de azar de chance do dApp para vencer cada jogo.
Ao apostar nos recursos da CPU e da rede por si só e pelo contrato inteligente atacado, o atacante conseguiu exercer tanta pressão na rede EOS que a rede EOS “congelou” e só processou as transações do hacker ao enviar milhares de EOS para o seu próprio endereço de portfólio. A sobrecarga significava que apenas o hacker e o aplicativo atacado tinham recursos de rede suficientes.
Isso não apenas impediu que outros usuários da rede EOS enviassem suas transações rapidamente, mas também impediu que os desenvolvedores do EOSPlay parassem o ataque assim que ele foi detectado.
O usuário ‘retkit ‘do Twitter também forneceu um bom resumo do incidente:
https://twitter.com/rektkid_/status/1172771309459255296
O preço da EOS não está impressionado e, desde então, aumentou 9% nas últimas 24 horas para 4,09 USD.
