EOSBet, una dApp de apuestas en EOS habría sufrido un durísimo ataque tan sólo un par de días después de declararse la más segura de su estilo, cuando hackers lograron robar alrededor de US$ 200,000 (40,000 EOS) de su billetera al explotar vulnerabilidades en sus contratos inteligentes.
“Hemos sido atacados hace un par de horas, y nos han quitado alrededor de 40,000 EOS. (…) El bug fue significativo y aún nos encontramos realizando estudios para determinar lo sucedido”, comentó un vocero de EOSbet.
En consecuencia, los desarrolladores han dado de baja la dApp mientras determinan exactamente qué y cómo pasó, tras admitir que el ataque habría sido propiciado por una falla propia en el código.
“EOSBet debería estar de vuelta relativamente rápido, hemos comprobado que el bug fue debido a un error en nuestro código (…) tras hablar con otros desarrolladores y BPs, parece que ya esto le habría ocurrido a otros juegos”, prosiguió el vocero.
Aparentemente, los hackers lograron sustraer los fondos de EOSBet utilizando un hash falso, lo que hizo que el sistema de la dApp enviara un monto enorme de EOS. Por otra parte, el primero en notarlo habría sido un Redditor.
Al revisar la blockchain de EOS, además, parece apreciarse que varios estafadores estarían tratando de pescar en río revuelto gracias a este ataque, invadiendo toda la red al mejor estilo de los scambots de Twitter.
De esta forma, montos pequeños de EOS habrían sido enviados a la cuenta de hackes con algunos mensajes amenazantes adjuntos, debido a que una persona estaría utilizando una cuenta bastante parecida a la cuenta oficial de EOSBet wallet, incluso enviando comunicaciones para parecer legítimo.
“Por favor devuelva los fondos ilegales, de otra forma contrataremos un equipo de abogados en China para rastrear toda la actividad criminal y pérdidas hacia usted. Eosbet oficial eos account: eosbetdicell”, reza el mensaje falso
Poseriormente, la cuenta falsa ofrece un servicio de reembolso para aprovecharse de la situación al engañar a usuarios para que crean que la dApp devolverá a sus usuarios los fondos robados, alegación que no ha sido hecha por la compañía en ningún momento. Además, su cuenta oficial sería eosbetdice11, no eosbetdicell.
