Hacker đánh cắp 200.000 USD giá trị token EOS bằng cách lợi dụng lỗ hổng trong hợp đồng thông minh

Một ứng dụng cờ bạc dựa trên EOS blockchain đã bị khai thác một lỗ hổng trong hệ thống hợp đồng thông minh. Hacker đã có thể cuỗm đi 200.000 USD giá trị EOS từ lỗ hổng này.

EOSBet chuyển sang chế độ ngoại tuyến sau khi bị tấn công

Những kẻ đứng sau cuộc tấn công ngày hôm nay đã khai thác điểm yếu từ một trong những hợp đồng thông minh của nền tảng EOSBet. Sau khi vụ việc được phát hiện, dịch vụ này đã chuyển sang chế độ ngoại tuyến để các nhà phát triển có thể tìm cách xác định chính xác cách thức tấn công.

Theo một báo cáo của TheNextWeb, một phát ngôn viên của EOSBet đã tuyên bố:

“[…] Vài giờ trước, chúng tôi bị tấn công và khoảng 40.000 EOS đã bị đánh cắp từ quỹ của chúng tôi… Lỗ hổng của hợp đồng thông minh không phải là nhỏ như những nhận định ban đầu, chúng tôi đang thực hiện kiểm tra và tìm hiểu nguyên nhân”.

Họ nói thêm rằng dịch vụ EOSbet sẽ trở lại hoạt động ngay sau khi nhóm phát triển có thể khoanh vùng lỗi và tìm ra nguyên nhân của sự cố. Sau khi trao đổi với các lập trình viên, họ cho rằng nhiều trò chơi khác cũng gặp phải các vụ tấn công tương tự.

Dường như những kẻ đứng sau vụ tấn công có thể đánh lừa chức năng chuyển tiền của EOSBet bằng cách sử dụng một hash giả. Phát hiện này lần đầu tiên được công bố bởi một thành viên của cộng đồng EOSBet Reddit. Bài đăng của người dùng có tên “thbourlove” đã chỉ ra bộ mã được sử dụng để khai thác lỗ hổng. Vấn đề này cũng đã được tài khoản Reddit chính thức của nền tảng phản hồi:

“Đúng, chúng tôi đã bị hack. Nhưng chúng tôi cũng có xác nhận chính xác mà bạn làm. Tôi sẽ cẩn thận, nó sâu hơn bạn nghĩ một chút”.

Dường như những kẻ chịu trách nhiệm về vụ tấn công đã cố gắng hợp pháp việc chuyển tiền khỏi nền tảng đến ví của kẻ tấn công bằng cách tạo một tài khoản giả mạo ví tiền chính thức của EOSBet. Nhiều khoản tiền EOS nhỏ đã được gửi đến tài khoản của hacker với những thông điệp đe dọa:

“Vui lòng hoàn trả lại số EOS đánh cắp trái phép, nếu không chúng tôi sẽ thuê một nhóm luật sư ở Trung Quốc để truy cứu bạn về mọi trách nhiệm hình sự và tổn thất. Tài khoản eos chính thức của Eosbet: eosbetdicell. ”

Sau đó tài khoản này đã gửi thông điệp cho nhiều người dùng rằng EOSbet sẽ thực hiện hoàn trả tất cả số tiền đã mất cho người chơi. Tuy nhiên theo thông tin chính thức tại thời điểm bài viết, EOSbet vẫn chưa đưa ra bất kỳ tuyên bố gì liên quan đến việc giải quyết hậu quả của đợt tấn công.

Mặc dù con số người bị ảnh hưởng nhỏ hơn nhiều, nhưng sự việc này gợi nhớ đến vụ hack DAO trên mạng Ethereum. Trong vụ hack đó, một lỗ hổng hợp đồng thông minh đã bị khai thác để cho phép kẻ tấn công để lấy đi hàng triệu USD từ các nhà đầu tư token EOS. Chính sự cố này đã dẫn tới fork và tạo ra Ethereum Classic. Rõ ràng, các nhà phát triển cần phải đầu tư thêm rất nhiều công sức để có thể sử dụng các hợp đồng thông minh trong các dApp của mình.

Xem thêm: Tiền mã hóa thành công hay thất bại trong một thập kỷ qua?

Xem thêm: Constantinople của Ethereum chuẩn bị kích hoạt trên Testnet vào tháng 10

Theo: TapchiBitcoin/newsbtc