Уязвимость в сети EOS позволила хакеру выигрывать при каждом броске кубика в азартной игре dApp EOSPlay. Хакер таким образом выиграл около $110 000, используя саму сеть для искусственного заполнения блоков.

Злоумышленник задействовал EOSIO в игровом приложении EOSPlay, поставив весь проект в неловкое положение. Технически подкованный игрок смог присвоить более 30 тыс монет EOS. Все цепочки транзакций в цепи видны в обозревателе блоков.

Однако за этой атакой скрывается нечто большее, чем кажется на первый взгляд. Это не просто уязвимость, связанная с EOSPlay. Хакер использовал множество смарт контрактов, чтобы обыграть систему, сделав некоторые децентрализованные приложения недействительными, и получить вознаграждения.

В результате атаки сеть EOS оказалась в «режиме перегрузки».

Размещенные и распределенные монеты

Суть атаки сложно объяснить тем, кто не знаком с механизмом работы EOS. По сути, злоумышленник загрузил сеть арендованными ресурсами. Хакер воспользовался новой биржей на базе EOS. Биржа представляет собой площадку для безрисковой аренды сетевых ресурсов.

Он сумел загрузить сеть множественными транзакциями. Как объясняет Дексаран (@Dexaran):

Суть в том, что эту уязвимость можно устранить только при помощи форка или патча. А до тех пор, любой пользователь EOSIО, потративший на бирже ресурсов более 1000 долларов может повторить этот трюк. Таким образом, проблема гораздо глубже, чем просто EOSPlay. Фактически, она может повлиять на функционирование целого ряда приложений, при этом никто ничего не заметит, пока не станет слишком поздно.

Масштабируемость

Проекту EOS с трудом удалось создать динамичный рынок для CPU и RAM в своей сети. Он позиционировал себя как «масштабируемую» версию Ethereum – эта идея часто продвигалась как цель проекта.

На кошельках Block One после ICO осело около 3 млн долларов, однако неизвестно, какую сумму разработчики потратили на улучшение безопасности сети. Учитывая последние события, кажется, что не так много, как следовало бы.

Как вы думаете, EOS сумеет быстро устранить уязвимость? Или мы имеем дело с фундаментальными проблемами? Поделитесь своими мыслями в комментариях.


Изображения предоставлены Twitter, Shutterstock.