Okex подтвердил обнаружение уязвимости «ложного пополнения» EOS
SlowMist, китайская фирма по кибербезопасности, утверждает, что обнаружила уязвимость безопасности, которая позволяет пользователям регистрировать депозиты EOS без фактического перевода средств.
Криптообменник OKEX подтвердил уязвимость.
EOS, одна из крупнейших в мире платформ для создания и развертывания децентрализованных приложений (dApps), может оказаться уязвимой для атаки — согласно китайской фирме по кибербезопасности SlowMist Technology Co. Ltd.
В сообщении среднего уровня SlowMist, упоминаемом как «ложное пополнение», говорится, что уязвимость может быть использована злоумышленником, поскольку они «могут успешно размещать EOS на этих платформах без переноса каких-либо токенов». Платформы, на которые может повлиять уязвимость связанная с EOS, используют обмен цифровыми активами, кошельки и другие сервисы связанные с криптовалютой, отметил SlowMist.
Уязвимость, связанная с «ложным пополнением», похожая на ложное пополнение Ethereum
Фирма онлайн-безопасности также заявила в своем блоге, что настоящая атака уже произошла. Тем не менее, SlowMist пока не раскрывает каких-либо подробностей касательно атаки, за исключением того, что отмечает, что она чем-то похожа на ложные атаки по пополнению счета USDT и Ethereum. Как описано в блоге SlowMist:
«Платформа должна нести ответственность за эту [ложную уязвимость пополнения счета]. Поскольку это новый тип атаки, и атака уже происходит, если другие платформы не полностью уверены в собственной проверке процесса депозита, им следует как можно скорее приостановить депозит EOS и перепроверить процесс. Конкретные детали атаки будут раскрыты SlowMist Security Team.»
OKEx подтверждает уязвимость.
В ответ на угрозу безопасности со стороны SlowMist, крипто-биржа со штаб-квартирой в Гонконге OKEx подтвердила (через Twitter), что она «знает об уязвимости с помощью депозитов EOS». Но руководство OKEx также подтвердило, что торговая платформа компании «не подвержена уязвимости».
В прошлом месяце группа Telegram сообщества EOS сообщила, что 2,09 миллиона токенов EOS (более 7 миллионов долларов США) были переданы держателем EOS, внесенным в черный список. Несколько средств массовой информации назвали этот инцидент «взломом», однако подробное расследование, проведенное BreakerMag, показало, что, как сообщается, произошла поломка временного решения арбитражной группы EOS по блокировке вредоносных учетных записей.
400 000 токенов EOS по сообщениям украдены со взломанных аккаунтов
В декабре 2018 года исследовательская фирма PeckShield, занимающаяся кибербезопасностью, опубликовала отчет, в котором говорится, что в настоящее время активными являются только 120 000 из примерно 500 000 учетных записей EOS. Исследовательская группа PeckShield также сообщила, что с момента создания, более 200 000 (около 37%) учетных записей EOS были неактивны.
Примечательно, что исследователи PeckShield обнаружили, что 27 dApp на основе EOS имеют серьезные уязвимости, однако эти проблемы безопасности не были напрямую связаны с проблемами с самой цепочкой блоков EOS. Из-за этих уязвимостей в системе безопасности было похищено более 400 000 токенов EOS (на сумму около 700 000 долларов на момент взлома системы безопасности).
