Al descubrir una brecha en la seguridad, hackers lograron inyectar mil millones de EOS falsos a una plataforma de Exchange descentralizado, robando alrededor de US$ 58,000 en criptomonedas directamente de sus usuarios.
Los hackers habrían creado un nuevo token basado en EOS, llamado también EOS; y lo utilizaron para comprar tokens de ADD, BLACK e IQ en la casa de cambio de criptomonedas Newdex, información confirmada por la empresa.
“La cuenta de EOS oo1122334455 emitió 1,000,000,000 tokens falsos de EOS (…) tras analizar los pormenores del ataque, notamos que la cuenta emitió grandes órdenes de compra. Un total de 11,800 órdenes falsas de EOS fueron emitidas para comprar BLACK, IQ y ADD,” comentó Newdex.
Asimismo, los atacantes habrían cambiado sus tokens por verdaderos tokens de EOS, enviando unos 4,028 EOS (aproximadamente 20,000) a Bitfinex. Por otra parte, los verdaderos afectados serían los usuarios de la dApp de Newdex, cuyas pérdidas totales ascienden hasta los US$ 58,000.
Si bien el equipo de Newdex se ha disculpado por el incidente, hasta los momentos no hay indicios de que exista un plan para compensar a sus usuarios. Además, la vulnerabilidad podría surgir de dos razones principales:
La primera es que cualquiera puede emitir tokens de EOS, y pueden colocarles el nombre que quieran, aparentemente, inclusive EOS. Simplemente necesitas una cuenta. En segundo lugar, Newdex no utiliza contratos inteligentes, por lo que nada puede confirmar o negar la autenticidad de las criptomonedas que ingresan a su plataforma.
Sin contratos inteligentes, los usuarios de Newdex simplemente estarían enviando fondos a la cuenta personal de EOS de alguien con la esperanza de que este lleve a cabo el trading de forma adecuada, algo que, además, iría en contra del supuesto carácter descentralizado de la plataforma.
Además, de acuerdo con investigadores de seguridad, aparentemente Newdex utilizaría la misma llave de seguridad para permisos de administrador y permisos activos, una vulnerabilidad notable en su seguridad.
