Две игровые EOS-платформы взломаны, похищено более $260 000

Хакеры взломали смарт-контракты на двух игровых платформах на базе EOS, похитив $260 тысяч.

Первый инцидент произошёл 9 сентября на платформе DEOSGames. Команда проекта подтвердила взлом своего смарт-контракта, при этом назвав атаку «хорошим стресс-тестом».

We are back up and running with EOS game for last 6+ hours. Yesterday, we got a malicious contract exploit our contract. it is a good stress test and we got significant improvements on contract level. Keep doing what we do, remember we are still in beta!

— DEOSGames (@DEOS_Games) September 10, 2018

Второй взломанной платформой стала EOSBet. Согласно официальному сообщению на Reddit, атака произошла 14 сентября около 3:00 UTC. Хакеры получили  доступ к банкроллу площадки и, прежде чем разработчики отключили эти смарт-контракты, похитили более 44 тыс. EOS. Оставшиеся токены в контрактах EOSBETDICE11 и EOSBETCASINO остались в безопасности. На данный момент уязвимость устранена, а платформа снова доступна.

По данным площадки, хакеры воспользовались  недоработкой в коде, которая позволила им обойти функцию esio.token -> transfer. В результате их средства не депонировались в смарт-контракт. Поэтому всякий раз, когда они проигрывали, им не приходилось платить, но если они выигрывали, то выигрывали реальные средства, которые затем могли обналичить.

Стоит отметить, что могла иметь место и третья атака – за несколько дней до того, как EOSBet опубликовала заявление по поводу взлома, платформа в течение 36 часов выплатила одному из своих пользователей $600 тыс. Изданию The Next Web этот эпизод показался достаточно подозрительным, чтобы охарактеризовать его как взлом. Однако команда EOSBet заявила, что никакого взлома не было и в данном случае пользователю просто повезло – он выиграл джекпот.