Blockchain EOS onder vuur na probleem met dApp, aanvaller maakt $110.000 buit

Een onbekend persoon heeft via de blockchain van EOS flink kunnen cashen. Hij kreeg het voor elkaar om elke pot in een gokapp te winnen. De dApp EOSPlay werkte niet helemaal naar behoren omdat de hacker een slim trucje uithaalde. Hij maakte het netwerk ‘onbruikbaar’ door blocks vol te maken (door hier voor te betalen). In totaal leverde hem dit 30.000 EOS op, wat gelijk staat aan grofweg $110.000.

EOS gok dApp

De slimmerd gebruikte REX, een product van EOS waarmee je RAM en CPU geheugen kunt uitwisselen om hiermee te verzekeren dat transacties kunnen worden verwerkt. Rex staat voor Resources EXchange. Hij kreeg het voor elkaar om EOSPlay leeg te trekken van de munten die daar gestald stonden. Waarom? Hij was simpelweg de verreweg de machtigste (en slimste) persoon.

Koop gemakkelijk en snel Bitcoin bij Bitvavo. Ga aan de slag en betaal geen handelskosten voor je eerste aankoop tot €1.000 !

https://twitter.com/rektkid_/status/1172597208899903488

Het kostte de aanvaller slechts 300 EOS, ter waarde van $1.000, om er met de 30.000 tokens vandoor te gaan. De transacties zijn in de bovenstaande tweet te zien en dit bevestigd dus ook de ‘hack’. Hoewel: hack? De aanvaller houdt zich gewoon aan de regeltjes van het netwerk en toont dus eigenlijk aan dat er iets goed mis is met de blockchain.

Een anonieme ontwikkelaar van de ERC-233 standaard, laat weten dat deze actie bij meer dApps kan plaatsvinden. Het is dus niet zo zeer een probleem van EOSPlay. De hacker lijkt meerdere accounts te gebruiken om verschillende smart contracts te ‘misbruiken’.

Hoe werkt het precies?

EOSIO Alabama legt uit hoe het kon gebeuren. Zoals gezegd, gebruikte de aanvaller REX. De ‘facturering’ van de CPU die wordt uitgewisseld neemt dynamisch toe. In principe wordt iedereen buitengesloten tenzij men meer EOS inzet dan de aanvaller van het netwerk. In dit geval had de hacker ongeveer 1 miljoen EOS ingezet voor CPU vanuit REX.

https://twitter.com/eosioalabama/status/1172757840743870466

Door deze 900.000 EOS in te zetten en toe te wijzen aan CPU, konden anderen kennelijk geen toegang meer krijgen tot deze middelen. “Door het netwerk te overbelasten, verbood de hacker dat er transacties verstuurd konden worden omdat de kosten voor de meeste gebruikers te hoog werden.” De EOS die werd gebruikt was slechts 0,2 procent van de totale/maximale capaciteit en normaal gesproken zou de rekenkracht verdeeld worden over alle stakers. Het laat wel zien hoe serieus deze opstopping in het netwerk is.

[penci_blockquote style=”style-3″ align=”none” author=”rektkid op twitter”]Just to summarise, someone rented a load of resources from REX and is using it to exploit a gambling dapp called EOSPlay. They seem to have walked away with about 30k EOS so far. Don’t panic, just wait and resource usage should go back to normal.[/penci_blockquote]

https://twitter.com/Mikefletcher42/status/1172789474000023552

Loophole

Wat misschien nog wel erger is, is dat de eigenaars van de smart contracts moeite zouden hebben om deze contracten uit te zetten. De opstopping op het netwerk en het tekort aan network resources is hier de oorzaak van. Daarmee is het dus (theoretisch gezien) mogelijk dat de aanvaller zichzelf in een dusdanige positie nestelt, dat het moeilijk wordt om het uit het netwerk te kicken. In het ergste geval zou er een fork moeten komen om de ‘kwaadaardige persoon’ te stoppen.

[penci_blockquote style=”style-2″ align=”none” author=”Jared Moore”]Network congestion makes (1) hacker and (2) attacked DApp the only users of the network who had enough CPU to operate. This prevents contract developers from redeploying the contract and stopping the attack when they recognized the issue.[/penci_blockquote]Bron: CryptoSlate