EOS 去中心化交易所 Newdex 本月上周爆出“假 EOS”刷币事件,造成用户价值 11,803 个 EOS 的损失 (时价约 6 万美元),交易所 Newdex 全盘承担损失。
事件始末
EOS 账户“oo1122334455”于 9 月 14 日于 EOS 主网发行 10 亿个名为“EOS”的冒名代币,多次转换至账户“iambillgates”后,在去 EOS 中心化交易所 Newdex 上成功交换了 IPOS、BLACK、IQ 和 ADD 代币。
账户“iambillgates”首先是尝试性地用一个假“EOS”挂单成功买入 IPOS 和 ADD 代币。之后变开始展开大规模的攻击,分多笔共 11,800 个“假 EOS”以市价购买 BLACK、IQ 和 ADD 代币,并全数交易成功。
得手之后,随即转入“xx1234512345”与“x12345x12345”账户,最终卖得 4,028 个“真实 EOS”。
去中心化交易所 Newdex 在攻击一个小时逾后停止相关服务,紧急修复后恢复正常营运。不过在停止服务之前,攻击者已将非法获得的 4,028 个“真实 EOS”转入中心化交易所“Bitfinex”,用“假 EOS”换得的剩余代币,则留在“xx1234512345”账户中。
Newdex 官方完整公布始末,并表示:
Newdex 认为骇客的此次行为严重破坏 EOS 生态的稳定,表示强烈谴责,Newdex 将会进一步追查骇客的资讯,并追究骇客行为。
双重问题点:代币名称 + 假去中心化交易所
- 自由创建代币 可重复命名
在 EOS、以太坊这样的公链上,都能用智能合约创建代币,并且自由命名。既有了 EOS,再度命名新的代币为“EOS”也无仿,包含你想要创建名为“ETH”的代币也可行。
判别真伪的方式就是“智能合约地址”,每个代币项目都有一个独有的智能合约地址,这是不能重复与伪造的。
这件事在 Newdex 出现了漏洞,从结果看来,它的系统并没有区别真伪代币的能力。
- 假去中心化交易所
在事发前一天,论坛 reddit 上才出现名为“勿相信 Newdex 为去中心化交易所,他们甚至没有智能合约,也为公开其中心化搓合服务器的开源代码”讨论串。
reddit 帖主 0xFF810000 提出四大疑点:
- Newdex 不使用智能合约搓合交易, 而是用中心化服务器处理所有链下订单。
- Newdex 根本没有智能合约在处理交易,用户只是在交易时将资金转入该交易所的所属 EOS 账户,再由其处理交易。
- 因资金不在智能合约中处理,用户无法查看搓合订单的原始代码,以及检视交易安全性。假设交易所的密钥被盗,所有交易用户都会受损失。
- 该交易所使用相同的密钥管理交易活动,也因此只要一个密钥被盗,就会影响全体用户。大多的交易所至少会使用多个钱包管理。
Newdex 网站上的宣传“智慧合约链上存储”(图一),对比这次遭攻击事件与 reddit 帖主 0xFF810000 所得到的“无智能合约”官方回应 (图二),让无辜的交易用户在茫茫交易所海中更加无所适从。
(图一)
(图二)
资料来源:newdex
图片来源:
- imgur
- sky
区块客致力于发掘和整理各种与区块链技术有关的内容,只要与区块链或区块客网站有关的合作和/或建议,我们都非常欢迎。请您发电邮至 [email protected] 与我们联系。
