Una aplicación de juego que se basa en la cadena de bloques EOS ha explotado una falla en su sistema de contrato inteligente. Los piratas informáticos pudieron ganar $ 200,000 en EOS debido a la vulnerabilidad.
Quienes están detrás del ataque de hoy explotaron una debilidad en uno de los contratos inteligentes de la plataforma EOSBet. Después del incidente, el servicio se desconectó mientras los desarrolladores intentaban identificar exactamente cómo era posible tal ataque.
Según un informe de TheNextWeb, un portavoz de EOSBet ha declarado:
‘[Haceunashorasfuimosatacadosysetomaronalrededorde40000EOSdenuestrobancoEsteerrornofuemenorcomosedijoanteriormenteytodavíaestamoshaciendoanálisisforensesyreconstruyendoloquesucedió'[Afewhoursagowewereattackedandabout40000EOSwastakenfromourbankroll…Thisbugwasnotminoraswasstatedpreviouslyandwearestilldoingforensicsandpiecingtogetherwhathappened’
Agregaron que el servicio debería reanudar la funcionalidad completa “relativamente rápido” y que el incidente fue causado por una falla en la codificación de uno de sus juegos. Además, parece que los piratas informáticos pudieron apuntar a numerosos juegos con el mismo código.
Parece que los que estaban detrás del ataque pudieron engañar a la función de transferencia de fondos de EOSBet mediante el uso de un hash falso. El descubrimiento fue hecho público por primera vez por un miembro de la comunidad EOSBet Reddit. La publicación del usuario “thbourlove” mostró el código utilizado para explotar la vulnerabilidad. Esto fue respondido por la cuenta oficial de Reddit de la plataforma:
“Sí, nos hackearon. Pero también tenemos esta afirmación exacta de que sí. Tendría cuidado, es un poco más profundo de lo que piensas”.
Parece que los responsables del ataque han intentado hacer que las transferencias fuera de la plataforma a la billetera del atacante parezcan legítimas al crear una cuenta que se parece mucho a la de la billetera oficial de EOSBet. Recibieron pequeñas transacciones de varias cuentas acompañadas del siguiente mensaje y otros similares:
“Memo: reembolse los ingresos ilegales eos, de lo contrario, contrataremos un equipo de abogados en China para perseguir toda responsabilidad penal y pérdidas para usted. Cuenta oficial de eos de Eosbet: eosbetdicell.”
Tomando una hoja del libro de jugadas de los estafadores de bots de Twitter de distribuir ganancias obtenidas de manera ilícita en muchas billeteras, la cuenta falsa luego envió muchas pequeñas cantidades de tokens EOS a varias cuentas con este mensaje:
“Memo: Estimados jugadores: para compensar la pérdida de jugadores de eosbet en el incidente de piratería, la plataforma lanzó una recarga para enviar BET. 1EOS=1BET, la cuenta oficial de eos: eosbetdicell, la transferencia dará automáticamente la misma APUESTA.”
Presumiblemente, la esperanza es que el desembolso se asemeje a un reembolso oficial para los jugadores afectados por la infracción.
Aunque las cifras involucradas son mucho más pequeñas, el incidente recuerda demasiado al ataque DAO en la red Ethereum. Allí, se explotó una vulnerabilidad de contrato inteligente que permitió a los atacantes hacerse con millones de dólares en tokens ETH de inversores. Fue la respuesta a esto lo que provocó la bifurcación que creó Ethereum Classic. Claramente, los desarrolladores deben tener mucho más cuidado con la esperanza de utilizar contratos inteligentes en sus dApps.
