Sfondato il contratto intelligente EOS Smartcontract per rubare $ 200K

il gioco d’azzardo dApp ha subito un duro colpo, pochi giorni dopo dichiararsi il più sicuro del suo genere. Gli hacker hanno prelevato 40.000 EOS ($ 200.000) dal portafoglio operativo di EOSBet sfruttando le vulnerabilità nei suoi contratti intelligenti.

“[…] Qualche ora fa siamo stati attaccati e circa 40.000 EOS sono stati prelevati dal nostro bankroll”, ha detto un portavoce di EOSBet agli utenti. “Questo bug non era secondario come è stato affermato in precedenza, e stiamo ancora facendo analisi forensi e mettendo insieme quello che è successo.”

Da allora gli sviluppatori di EOSBet hanno portato offline la dApp mentre gli sviluppatori hanno capito esattamente cosa è successo. Un portavoce ammette che gli hacker hanno avuto successo solo a causa di un errore nel suo codice.

“[EOSBet] dovrebbe tornare online in tempi relativamente brevi. Abbiamo ridotto il bug a una dichiarazione di asserzione errata nel nostro codice. “Ha aggiunto il portavoce EOSBet. “Dopo aver parlato con altri sviluppatori e BP, sembra che anche altri giochi siano stati attaccati usando lo stesso esatto codice (abi forwarder.)”

Sembra che gli hacker siano stati in grado di chiamare la funzione di “trasferimento” di EOSBet esternamente usando un falso hash. Questo ha ingannato il sistema di EOSBet per inviare illegittimamente una quantità enorme di EOS. Un appassionato Redditor fu il primo a condividere la scoperta. Hard Fork ha da allora confermato che l’hack è davvero autentico.

Dando uno sguardo alla blockchain EOS, però, possiamo vedere alcuni eventi curiosi. Sembra che i truffatori, ispirati dagli scambi di criptovalute di Twitter , abbiano invaso il blockchain EOS per sfruttare l’attuale caos.

Piccole quantità di EOS sono state inviate all’account dell’attaccante  con alcuni messaggi minacciosi allegati. Usando un nome account  molto simileal portafoglio ufficiale di EOSBet, qualcuno sta inviando comunicazioni apparentemente ufficiali nel tentativo di apparire legittimo:

Il messaggio si traduce approssimativamente in:

Memo: Si prega di rimborsare il reddito illegale eos, altrimenti assumeremo una squadra di avvocati in Cina per perseguire tutte le responsabilità e le perdite. Account Eos ufficiale di Eosbet: eosbetdicell.

Quindi, l’account falso procede per offrire un servizio di rimborso al fine di capitalizzare sulla situazione ancora in via di sviluppo. I truffatori stanno tentando di indurre gli utenti a credere che EOSBet stia rimborsando i propri clienti per qualsiasi furto di fondi. Al momento della scrittura, EOSBet non ha rilasciato dichiarazioni di questo tipo.

Nota, l’account EOSBet ufficiale è ‘eosbetdice11’, non ‘eosbetdicell’. Abbastanza subdolo.

Un’altra legge:

Memo: Cari giocatori: per compensare la perdita di giocatori di eosbet nell’incidente dell’hacking, la piattaforma ha lanciato una ricarica per inviare BET. 1EOS = 1BET, l’account ufficiale di EOS: eosbetdicell, il trasferimento darà automaticamente lo stesso BET.

Non è chiaro se la violazione di oggi sia in qualche modo collegata ad altre attività insolite che si verificano su EOSBet nei giorni scorsi. All’inizio di questa settimana, un giocatore fortunato ha richiesto oltre $ 600.000 da EOSBet raddoppiando i propri soldi ripetutamente per un periodo di 36 ore.

Per quel che vale, all’epoca, un portavoce di EOSBet era assolutamente irremovibile sul fatto che la piattaforma non fosse stata compromessa e che tutte le scommesse sulla piattaforma fossero legittime, inclusi $ 600.000.

Che differenza fa solo un giorno.