Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Весьма печальная история произошла в минувшие выходные с неизвестным владельцем криптовалюты EOS. 22 февраля 2019 года он обнаружил, что его аккаунт был скомпрометирован, после чего следовал «штатной» процедуре, которая защищает блокчейн EOS и его пользователей от злоумышленников.

Данный механизм подразумевает, что пострадавший уведомляет о случившемся 21 производителя блоков (по сути, это наиболее эффективные майнеры EOS, которых голосованием выбирает сообщество), после чего они должны внести скомпрометированный аккаунт EOS в черные списки. На эти черные списки полагаются криптовалютные обменники и биржи, чтобы своевременно банить хакеров и не позволять им выводить похищенные средства куда-либо.

К сожалению, в минувшие выходные данная процедура дала сбой. Как объясняют представители производителя блоков EOS42, чтобы механизм работал как должно, свои черные списки должны обновить все производители блоков, и если хотя бы кто-то этого не сделает, взломанный аккаунт может быть опустошен. Именно это и произошло с неназванным пользователем, который в итоге лишился 2,06 млн EOS (7,7 млн долларов США по курсу на момент инцидента).

Сообщается, что черные списки вовремя не обновили представители платформы games.eos, занимающейся разработкой игр для блокчейна EOS и вошедшей в число 21 производителя блоков совсем недавно.

В итоге злоумышленники успели вывести токены жертвы сразу на несколько бирж. Вскоре после публикации отчета EOS42, представители биржи Huobi заморозили аккаунт злоумышленника, но, увы, аналогичным образом поступили не все биржи, и в руках преступников все же остались немалые деньги.

On Feb 22 at 17:35 (GMT+8), the Huobi Security team monitored that #ECAF (EOS Core Arbitration Forum) blacklisted accounts had sudden flow of assets into Huobi accounts. These $EOS accounts have subsequently been frozen, including relevant assets related to these accounts.

— HuobiGlobal (@HuobiGlobal) February 23, 2019

Теперь представители EOS42 предлагают пересмотреть систему работы черных списков и сделать ее более демократичной. Применяющийся в настоящее время подход в EOS42 называют уязвимым, ведь как показал данный случай, злоумышленникам достаточно скомпрометировать хотя бы одного производителя блоков, например, пообещав «награду» за несвоевременное обновление черного списка. В EOS42 предлагают вовсе убрать право такого «вето» для производителей блоков, и использовать обнуление ключей для аккаунтов из черного списка, что в теории также может позволить пострадавшим вернуть свои средства.

Теги: CSS, аккаунт черные представители производителя черного