警惕!黑客攻击新手段:假EOS流入交易所区块链
加密货币交易所被攻击事件最近稍有平息,但近日又站在了风口浪尖,这次倒不是因为又被攻击,而是因为交易所出现了“假冒的加密货币”,这个被假冒的加密货币就是大名鼎鼎的EOS。
加密货币交易所被攻击事件最近稍有平息,但近日又站在了风口浪尖,这次倒不是因为又被攻击,而是因为交易所出现了“假冒的加密货币”,这个被假冒的加密货币就是大名鼎鼎的EOS。
事情始末大致如下:
攻击者创建出了一种基于EOS的通证,并将其也命名为“EOS”,其账户oo1122334455一共发行了10亿个EOS假通证,经测试发现可以“以假乱真”后,该账户开始大量下单买入,用11800个EOS假币在去中心化交易所Newdex购买了BLACK、IQ和ADD这三种加密货币,然后再转换成了4028个真EOS,价值合计约2万美元,最后再转入了加密货币交易所Bitfinex。Newdex平台因此损失了约5.8万美元。
Newdex交易所已公开道歉,但用户因此受到的损失赔偿等后续处理计划还未公布。
看完我们不禁好奇:攻击者是如何创造出假EOS的?Newdex交易平台居然不能识别出假EOS?
【链知道】就此来为大家分析一下:
首先,EOS的特性决定任何人都可以使用EOS创建一个通证,而且命名不受任何限制,哪怕就命名为“EOS”也是可以的。攻击者就是利用了EOS的这个漏洞。
其次,Newdex平台对外声称是去中心化交易平台,实则不是,它并没有使用智能合约,所以才无法识别加密货币的真伪。其用户资金只在个人账户之间进行转移,所以才给了攻击者可趁之机。
曾有区块链社区在Newdex被攻击前几天指出了其存在的问题:
用户并没有向任何智能合约发送资金,而是把资金发送给了一个名为newdexpocket的普通EOS账户,这个账户上没有运行任何一种智能合约,实际上只是一种可操作的Newdex dApp钱包。更为担忧的是,newdexpocket账户的所有者和动态权限使用的密匙是完全相同的,为不法分子创建了一个易于利用的单一攻击途径,要知道,大多数交易所至少都是使用具有多重签名功能的钱包。
由此可见,Newdex并不是一个合格的去中心化交易所,安全漏洞问题有待解决。
虽然此次的损失数额并不是很大,但还是又一次给用户造成了心理恐慌,对交易所的安全担忧更加深一个层次。
在此,【链知道】提醒大家,在选择交易所时,不管是中心化交易所还是去中心化交易所,尽量选择大型的、知名的交易所。当然,在现阶段尽量还是选择中心化交易所,因为相比于中心化交易所,去中心化交易所目前还不成熟。
比较知名的中心化交易所有:OKEx、Bianance币安、Huobi火币、Bittrex、Coinbase、Kraken等;
比较知名的去中心化交易所有:Etherdelta 以德、bitshares 比特股、0x协议、KyberNetwork等。
1.TMT观察网遵循行业规范,任何转载的稿件都会明确标注作者和来源;
2.TMT观察网的原创文章,请转载时务必注明文章作者和"来源:TMT观察网",不尊重原创的行为TMT观察网或将追究责任;
3.作者投稿可能会经TMT观察网编辑修改或补充。