Tin tặc khai thác lỗ hổng trên nền tảng cá cược EOS và “thắng” jackpot 24 lần liên tiếp

Ứng dụng cá cược phân quyền EOS (dApp) đang nằm trong tầm ngắm tấn công của các tin tặc. Nền tảng cá cược DEOSGames đã bị thất thoát một phần đáng kể quỹ hoạt động của mình trong một vụ cướp khi một người chơi đã ‘may mắn’ thắng được gần 24.000 đô la.

Trong vòng chưa đến một giờ, một trò chơi cá cược phân tán đã thanh toán 24 lần cho một cá nhân duy nhất. Mặc dù chỉ đặt cược 339 EOS $ EOS ▼ 9% ($ 1,695), nhưng sau khi chuỗi may mắn kết thúc, tài khoản EOS “runningsnail” bằng cách nào đó đã bỏ đi với hơn 4,728 EOS (khoảng $ 23,640).

Tài khoản may mắn này đã được tạo chưa đầy một ngày trước khi gửi tiền lần đầu tiên để đặt cược. Theo dõi các giao dịch có liên quan thông qua trình khai phá chuỗi khóa của EOS, đã phát hiện thấy 197 jackpot EOS, mỗi thiết bị tương đương gần 1.000 đô la, được trả tiền liên tục cho tài khoản runningsnail này.

Từ đó có thể thấy các lượt chiến thắng của tin tặc này dường như là tự động. Mỗi một lần runningsnail đặt cược 10 EOS, jackpot đều được trả trong vòng trung bình 30 giây.

Cho đến hiện tại, runningsnail vẫn giữ hầu hết số tiền thắng của mình – nhưng chúng ta có thể thấy rằng tin tặc này đã bắt đầu thử nghiệm với một số ứng dụng dApps cá cược EOS khác, có lẽ là để tìm kiếm một mục tiêu dễ tấn công khác.

DEOSGames đã xác nhận về vụ lợi dụng lỗ hổng phần mềm để xâm nhập này trên các kênh xã hội của mình. “Hôm qua đã có một vụ xâm nhập bằng phần mềm độc hại khai thác các lỗ hổng trong hệ thống bảo mật của chúng tôi,” một tuyên bố cho biết. “Đó là một thử nghiệm tốt nhưng đầy căng thẳng và chúng tôi đã có những cải thiện đáng kể về độ bảo mật an ninh.”

Vẫn chưa rõ tình trạng lỗ hổng dễ bị tấn công này chỉ xảy ra duy nhất đối với DEOSGames, hay có mở rộng đe dọa tất cả các hợp đồng thông minh EOS tương tự hay không. Công ty đã được yêu cầu làm rõ vấn đề này.

Mặc dù 24.000 đô la có thể chỉ là con số lẻ so với các vụ cướp tiền điện tử chấn động thế giới khác, nhưng tỷ lệ phổ biến của các vụ xâm nhập trong thời gian ngắn như thế này đang gia tăng. Các ứng dụng cá cược chạy trên EOS là mục tiêu thường bị đặc biệt nhắm đến.

Cách đây chỉ vài tuần, một lỗ hổng tương tự đã bị khai thác ở EOSBet.io. Hệ quả là ứng dụng cá cược dApp đã buộc phải tạm ngừng hoạt động và cuối cùng các nhà nghiên cứu đã tìm ra một lỗ hổng nghiêm trọng khác trong chuỗi khối EOS.

Việc phát hiện ra các lỗ hổng trong mã EOS thực sự là một nghề hái ra tiền. Các nhà nghiên cứu đi sâu phân tích mã của EOS đã thu được hơn 417.000 đô la tiền thưởng vì phát hiện ra lỗi; và số tiền này chiếm 2/3 số tiền họ kiếm được từ công việc tìm lỗi cho các vụ tấn công tiền điện tử trên HackerOne trong năm nay.

Nguồn bài viết : https://thenextweb.com