Второй раз за месяц киберпреступники похищают крупные суммы у игровой площадки EOSBet.
Киберпреступники второй раз за месяц похитили сотни тысяч долларов в криптовалюте EOS у децентрализованной игровой площадки EOSBet. На этот раз злоумышленники проэксплуатировали Уязвимость – недостаток в компьютерной системе, использование которого, приводить к нарушению целостности системы и некорректной работе. Уязвимость появляются в результате ошибок программирования, недостатков, которые допускались при проектировании системы, ненадежных паролей, вредоносных программ, скриптовых и SQL-инъекций.
Уязвимость позволяет атакующему нарушить корректную работу приложения, к примеру, с помощью внедрения данных незапланированным способом; выполнения команды на системе, на которой выполняется данное приложение; или, используя упущение, которое позволяет получить доступ к памяти для выполнения кода на уровне привилегий программы. Запись данных в буфер, без проверки его границ, приводит к переполнению буфера и как результат происходит выполнение произвольного кода. Это также является уязвимостью. В результате недостаточной проверки данных, вводимых пользователем, возникает уязвимость, которая позволяет напрямую выполнить SQL (SQL-инъекции).
Уязвимости были обнаружены во всех основных операционных системах, включая Microsoft Windows, Mac OS, UNIX и OpenVMS.
Внедрив вредоносный код в стандартные кошельки EOS, злоумышленникам удалось обмануть смарт-контракты и заставить их ошибочно пополнять кредиты на большие суммы. При каждом переводе денег друг другу воры получали криптовалюту. В данном случае вредоносный код активировал функцию EOSBet под названием «transfer», заставляя ее сопоставлять каждую отправленную монету EOS с такой же суммой в рабочем кошельке.
Точная сумма ущерба пока не называется, однако известно, что использовавшаяся ворами уязвимость уже исправлена .
Напомним, в прошлом месяце площадка EOSBet стала жертвой кибератаки, в результате которой злоумышленники похитили из ее кошелька 40 тыс. EOS (примерно $200 тыс.). В ходе атаки киберпреступники проэксплуатировали уязвимость в смарт-контрактах.