Tin tặc tiếp tục tấn công dApp EOS, $338K được cho là đã bị đánh cắp

Linh Le

Các hacker, một lần nữa, được cho là đã đánh cắp hàng trăm ngàn đô la tiền điện tử của EOS $EOS ▲ 4,41% từ Ứng dụng cá cược phân quyền (dApp) chạy trên nền tảng EOS, DEOSBet.
Lần này, kẻ trộm đã khai thác một lỗ hổng khác trong trò chơi xúc xắc tự động EOSBet, bị cáo buộc ăn cắp ít nhất $338.000 từ ví điện tử.

Bằng cách tiêm các tài khoản tiêu chuẩn EOS với mã độc, những kẻ đột nhập số dường như đã lừa cho hợp đồng thông minh (smart contract) của mình vào việc ghi nhận nhầm tài khoản của họ với số lượng lớn tiền điện tử.

Dưới đây là ba giao dịch được cho là bất hợp pháp. Một trong những tài khoản của kẻ tấn công (“ilovedice123”) hút 65.000 EOS ($338K) trực tiếp cho một giao dịch tiền điện tử lớn.

Nhóm EOSBet vẫn chưa tiết lộ mức độ thiệt hại đầy đủ, nhưng một nhà sản xuất khối đã xác nhận các nhà phát triển đã vá nền tảng này lại.

Bắt buộc phải vá nhiều dApp EOS

Các hacker đã thêm mã độc vào ví EOS của họ, khiến tài khoản được nhắm mục tiêu ngay lập tức cấp cho kẻ tấn công bằng tiền điện tử mỗi khi tài khoản của họ gửi giao dịch qua lại.
Đoạn mã sẽ kích hoạt chức năng “transfer” của nền tảng, đánh dấu nó vào khớp với mọi giao dịch được gửi với số tiền bằng nhau từ các ví hoạt động.

Ở đây, chúng ta có thể thấy các giao dịch mang tính âm mưu diễn ra nhanh chóng, thoát ra một phần đáng kể các khoản giữ lại của EOSBets trong vài phút. Mỗi giao dịch được cho là đại diện cho 500 chiếc EOS bị kẻ trộm đánh cắp.

Chỉ một tháng trước, tin tặc đã lấy cắp 200.000 đô la từ EOSBet bằng cách khai thác một lỗ hổng bảo mật khác trong hợp đồng thông minh của nó. Chỉ vài ngày trước đó, các nhà phát triển đã tuyên bố nền tảng của họ là nền tảng an toàn nhất của loại hình này.

Vâng, và sau sự kiện đó, các nhà phát triển của EOSBet đã hứa rằng mã của họ đã được nhóm phát triển đội ngũ của mình đánh giá “bao quát” và “nhiều bên thứ ba độc lập.” Họ cam kết “thắt chặt” các biện pháp an ninh của họ.

Hãy xem liệu khoản lỗ thêm 338.000 đô la có ảnh hưởng gì không.

Chia sẻ bài viết ngay

Nguồn bài viết : https://thenextweb.com