Un Exchange décentralisé victime d’un nouveau hack EOS

Grâce à une faille de sécurité choquante, des pirates informatiques ont inondé Newdex, une plate-forme d’échange de cryptomonnaies décentralisée, avec 1 milliard de faux jetons EOS . Les hackers ont pu voler près de 58 000 $ de crypto-monnaies directement auprès des utilisateurs de l’exchange décentralisé

Les pirates ont créé un nouveau jeton basé sur EOS, ironiquement appelé «EOS» aussi, et l’ont utilisé pour acheter de manière illégitime des jetons BLACK, IQ et ADD à partir de Newdex. La société a depuis confirmé le piratage

Le compte EOS  o1122334455 a émis  1 000 000 000 de  faux jetons EOS, a écrit Newdex dans un communiqué.
Après avoir testé la faisabilité de l’attaque, le compte a commencé à placer de gros ordres d’achat. Un total de 11 800 faux ordres EOS ont été émis pour acheter BLACK, IQ et ADD.

Les pirates ont finalement échangé les jetons volés contre des vrais jetons EOS. Newdex a par la suite révélé que les attaquants avaient réussi à transférer 4 028 EOS réels (environ 20 000 dollars) vers Bitfinex. En fin de compte, ce sont les utilisateurs de Newdex dApp qui risquent de subir des pertes d’environ 58 000 dollars. Bien que l’équipe de Newdex se soit excusée pour cet incident, elle n’a pas encore prévu de compensation pour les utilisateurs concernés par le hack.

Comment cela a-t-il pu arriver?

Le problème réside bien sûr dans les vulnérabilités de Newdex, qui ont permis aux pirates de s’en sortir, mais une partie de la nature d’EOS est également en partie responsable. En termes simples, n’importe qui peut créer un jeton sur EOS (de la même manière que les utilisateurs peuvent créer des jetons Ethereum). Cependant, les jetons EOS permettent aux utilisateurs de les nommer librement, même “EOS”. Dans ce cas, l’utilisation du nom EOS semble avoir trompé Newdex. De plus, Newdex n’utilise pas de contrats intelligents, c’est la vulnérabilité qui a permis l’autorisation des faux jetons EOS. En l’absence d’un système de contrat intelligent en place pour confirmer l’authenticité des transactions, cela a permis aux pirates d’envoyer libement leurs faux jetons.

Pourquoi Newdex n’exécute pas de contrats intelligents?

 

Selon The Next Web:

C’est parce que ses développeurs semblent tirer parti du battage médiatique entourant les échanges décentralisés (DEX). En réalité, il ne s’agit que d’un seul compte utilisateur traitant des transactions sous le prétexte d’être un échange d’actifs – assez centralisé si vous me le demandez. Pire encore, il semble que l’utilisateur utilise exactement la même clé pour ses propriétés et ses autorisations actives. Pour référence, la plupart des échanges utilisent au moins des portefeuilles multi-sig. Il semble que dans ce cas, les clés n’étaient pas la cible – juste les trous de sécurité laissés par les développeurs d’échanges de jetons trop négligents pour programmer même un contrat intelligent pour protéger les utilisateurs.

Cette fascination autour de la «décentralisation» entraîne des vulnérabilités dans les échanges décentralisés, des vulnérabilités qui se révéleront dangereuses, comme nous l’avons vu dans le cas de Newdex. Espérons que l’entreprise sera tenue responsable, et émettra une forme de compensation pour les victimes de ce hack. Pour l’instant, il semble qu’ils ne veulent émettre que des excuses et rien de plus.

Tags

Articles liés

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Rejoignez notre chaîne Telegram