Весьма печальная история произошла в минувшие выходные с неизвестным владельцем криптовалюты EOS. 22 февраля 2019 года он обнаружил, что его аккаунт был скомпрометирован, после чего следовал «штатной» процедуре, которая защищает блокчейн EOS и его пользователей от злоумышленников.
Данный механизм подразумевает, что пострадавший уведомляет о случившемся 21 производителя блоков (по сути, это наиболее эффективные майнеры EOS, которых голосованием выбирает сообщество), после чего они должны внести скомпрометированный аккаунт EOS в черные списки. На эти черные списки полагаются криптовалютные обменники и биржи, чтобы своевременно банить хакеров и не позволять им выводить похищенные средства куда-либо.
К сожалению, в минувшие выходные данная процедура дала сбой. Как объясняют представители производителя блоков EOS42, чтобы механизм работал как должно, свои черные списки должны обновить все производители блоков, и если хотя бы кто-то этого не сделает, взломанный аккаунт может быть опустошен. Именно это и произошло с неназванным пользователем, который в итоге лишился 2,06 млн EOS (7,7 млн долларов США по курсу на момент инцидента).
Сообщается, что черные списки вовремя не обновили представители платформы games.eos, занимающейся разработкой игр для блокчейна EOS и вошедшей в число 21 производителя блоков совсем недавно.
В итоге злоумышленники успели вывести токены жертвы сразу на несколько бирж. Вскоре после публикации отчета EOS42, представители биржи Huobi заморозили аккаунт злоумышленника, но, увы, аналогичным образом поступили не все биржи, и в руках преступников все же остались немалые деньги.
Данный механизм подразумевает, что пострадавший уведомляет о случившемся 21 производителя блоков (по сути, это наиболее эффективные майнеры EOS, которых голосованием выбирает сообщество), после чего они должны внести скомпрометированный аккаунт EOS в черные списки. На эти черные списки полагаются криптовалютные обменники и биржи, чтобы своевременно банить хакеров и не позволять им выводить похищенные средства куда-либо.
К сожалению, в минувшие выходные данная процедура дала сбой. Как объясняют представители производителя блоков EOS42, чтобы механизм работал как должно, свои черные списки должны обновить все производители блоков, и если хотя бы кто-то этого не сделает, взломанный аккаунт может быть опустошен. Именно это и произошло с неназванным пользователем, который в итоге лишился 2,06 млн EOS (7,7 млн долларов США по курсу на момент инцидента).
Сообщается, что черные списки вовремя не обновили представители платформы games.eos, занимающейся разработкой игр для блокчейна EOS и вошедшей в число 21 производителя блоков совсем недавно.
В итоге злоумышленники успели вывести токены жертвы сразу на несколько бирж. Вскоре после публикации отчета EOS42, представители биржи Huobi заморозили аккаунт злоумышленника, но, увы, аналогичным образом поступили не все биржи, и в руках преступников все же остались немалые деньги.
Теперь представители EOS42 предлагают пересмотреть систему работы черных списков и сделать ее более демократичной. Применяющийся в настоящее время подход в EOS42 называют уязвимым, ведь как показал данный случай, злоумышленникам достаточно скомпрометировать хотя бы одного производителя блоков, например, пообещав «награду» за несвоевременное обновление черного списка. В EOS42 предлагают вовсе убрать право такого «вето» для производителей блоков, и использовать обнуление ключей для аккаунтов из черного списка, что в теории также может позволить пострадавшим вернуть свои средства.On Feb 22 at 17:35 (GMT+8), the Huobi Security team monitored that (EOS Core Arbitration Forum) blacklisted accounts had sudden flow of assets into Huobi accounts. These accounts have subsequently been frozen, including relevant assets related to these accounts.