Уязвимость нашли сотрудники команды 360 Vulcan security. Подробности представители китайской cnLedger изложили на Reddit.

Накануне инженеры 360 Vulcan security обнаружили уязвимости с высокой степенью риска в коде блокчейна EOS. Некоторые из них позволяли дистанционно запускать вредоносный код и таким образом обеспечивали полный контроль над узлами сети.

Наличие бага подтвердил разработчик EOS. По его словам, команда не будет запускать мейннет до решения проблемы. Напомним, старт сети запланирован на 1 июня.

Чем опасны уязвимости в сети криптовалюты

Дырки в традиционном программном обеспечении могут быть использованы для проведения кибератаки, воровства личных данных и влияния на реальную жизнь. Поскольку цифровые валюты представляют из себя набор финансовых систем, взлом сетей крипты может обернуться более серьёзными проблемами.

Хакер может получить власть над сетью и выполнить любое действие, против которого выступает сама суть децентрализации.

Атака на EOS. Подробности

Успех потенциальной атаки обеспечивало использование смарт-контрактов. Злоумышленники могли создать и опубликовать смарт-контракт со встроенным вредоносным кодом. Затем супернода EOS выполняла контракт и таким образом открывала дыру в системе безопасности.

Автор атаки мог повторно использовать суперноду для вставки вредоносного контракта в новый блок, из-за чего со временем он получал дистанционный контроль над всеми полными нодами сети. К последним относятся альтернативные суперузлы, точки перезагрузки, серверные узлы цифровых кошельков и так далее.

После обретения полного контроля над нодами хакер получал практически полную свободу действий. Он мог украсть ключ от суперноды EOS, контролировать проведение транзакций с виртуальными валютами в сети EOS, а также получать конфиденциальные финансовые данные по типу ключей пользователей и личной информации владельца монет.

В результате это могло привести к мини-апокалипсису. К счастью, проблему решили практически мгновенно. Выпуск патча подтверждает Cointelegraph.

В этот раз вроде как обошлось. Надеемся, разработчики ещё раз проверят код на наличие возможных дырок в безопасности. Залатывание их за день до запуска основной сети явно испортит отношение пользователей.

Подписывайтесь на наш канал в Телеграме. У нас нет уязвимостей.