Alle News durchlaufen eine strenge Faktenprüfung und werden von Blockchain-Experten sowie erfahrenen Brancheninsidern verfasst und redaktionell geprüft.
- Ein Hacker hat mindestens 30.000 EOS über eine Glücksspiel dApp im EOS Netzwerk gestohlen.
- Infolge des Exploits kam es zu einer Überlastung des EOS Netzwerkes.
- Die Ursache des Hacks ist keine Schwachstelle im Netzwerk, sondern lediglich ein Fehler im Smart Contract der Glücksspiel dApp.
Wie gestern via Twitter berichtet wurde, ist das EOS Netzwerk, speziell die Glücksspiel dApp EOSPlay, Ziel eines Hackerangriffs gewurden. Im Rahmen dessen haben die Angreifer mindestens 30.000 EOS erbeutet. Der Exploit ermöglichte es dem Angreifer jedes Spiel auf EOSPlay zu gewinnen, indem er „dafür bezahlte“, Blöcke mit seinen Transaktionen zu füllen, während das EOS Netzwerk stark überlastet war.
Wichtig zu wissen ist, dass es sich bei dem Bug um keinen Fehler der EOS Software handelt. Vielmehr liegt die Ursache bei den Entwicklern von EOSPlay. Zwar ist der Angriff zunächst gestoppt und das Netzwerk wieder im normalen Betrieb.
Trotzdem sollte EOSPlay zunächst gemieden werden, bis der Exploit behoben ist. Bis es einen Fork oder einen Patch gibt, kann der Exploit weiterhin missbraucht werden, wenn ein Angreifer erneut genügend EOS Netzwerkressourcen und EOS staken kann. EOS Besitzer müssen sich indes keine Sorgen machen. Ihre EOS sind nicht gefährdet.
Attack stopped, network is back in a normal mode. >30K EOS stolen because of the vulnerability of DApp design. Not $EOS flaw. Just a smart-contract that was hacked.
To smart-contract devs:
1. Follow best security practices.
2. Do not rely on on-chain source of entropy in EOS.— Dexaran (@Dexaran) September 14, 2019
Und so funktionierte der Diebstahl
Die Angreifer mieteten über den Ressourcenaustausch EOSRex eine beträchtliche Menge an CPU und Netzwerkressourcen von EOS. Mit den gemieteten Ressourcen und vermutlich 900.000 gestakten EOS war der Angreifer in der Lage die Glücksspiel dApp so zu manipulieren, dass er jedes Spiel gewann.
Durch das Staking der CPU und der Netzwerkressourcen für sich selbst und den angegriffenen Smart Contract konnte der Angreifer das EOS Netzwerk so stark belasten, dass das EOSIO-Netzwerk „einfrierte“ und nur noch Transaktionen des Hackers verarbeitet wurden, während dieser Tausende von EOS an seine eigene Wallet Adresse sendete. Die Überlastung bedeutete, dass nur der Hacker und die angegriffene App über genügend Netzwerkressourcen verfügten.
Dies hinderte nicht nur andere Nutzer des EOS Netzwerks ihre Transaktionen schnell zu versenden, sondern insbesondere auch die Entwickler von EOSPlay daran, den Angriff zu stoppen, sobald dieser entdeckt wurde.
Eine gute Zusammenfassung des Vorfalls lieferte auch der Twitter Nutzer „retkit“:
https://twitter.com/rektkid_/status/1172771309459255296
Der Kurs von EOS zeigt sich unbeeindruckt und ist unterdessen um 9% innerhalb der letzten 24h auf 4,09 USD gestiegen.
