Злоумышленнику удалось похитить $7,7 млн в криптовалюте EOS из-за халатности одного из управляющих черным списком.
О взломе стало известно в субботу, 23 февраля, из Telegram-сообщения в группе EOS42, куда входят владельцы криптовалюты EOS. Как говорилось в сообщении, 22 февраля учетная запись EOS одного из пользователей была скомпрометирована. Обнаружив взлом, пользователь выполнил все требования в соответствии с вшитой в блокчейн стандартной инструкцией по внесению скомпрометированных аккаунтов в черный список.
Данная инструкция подразумевает уведомление 21 «производителя блоков» (термин, обозначающий самых производительных майнеров EOS) о взломанном криптовалютном кошельке. Эти «производители блоков» должны добавить адрес в черный список, для того чтобы криптовалютные биржи могли блокировать перевод средств.
«Каждый из 21 производителя блоков обязан обновлять черный список. Если хотя бы один из них не обновит черный список, взломанные аккаунты могут быть опустошены. Именно это и произошло в течение последних 24 часов, когда новая смена производителей блоков вовремя не обновила черный список. К сожалению, один из взломанных кошельков, содержащий 2 млн EOS, уже начал опустошаться», — сообщили участники EOS42.
Производителем блоков, не обновившим вовремя черный список, оказалась платформа games.eos для разработки блокчейн-игр на базе EOS, недавно вошедшая в топ-21 производителей блоков. Злоумышленникам удалось перевести со взломанного кошелька 2,09 млн EOS на несколько счетов в разных криптовалютных биржах. Платформа Huobi заморозила счета, куда преступники перевели деньги, однако у них по-прежнему осталась кругленькая сумма, поскольку примеру Huobi последовали далеко не все биржи.
В связи с инцидентом EOS42 предлагает изменить инструкции таким образом, чтобы список обновляли только 15 из 21 производителей блоков.