由于出現(xiàn)了一個嚴重的安全漏洞，10億個EOS假幣流入了去中心化的代幣交易平臺。最終，攻擊者直接從用戶手中竊取了價值5.8萬美元的加密貨幣。

攻擊者創(chuàng)造了一種全新的EOS代幣，并將其命名為“EOS”，在Newdex交易所買入了BLACK、IQ和ADD這三種代幣。該公司隨后證實了本次攻擊。

EOS賬戶oo1122334455發(fā)行了10億個EOS假幣。經(jīng)測試發(fā)現(xiàn)攻擊可行之后，該賬戶開始掛出大額買單，共有11800個EOS假幣用于購買BLACK、IQ和ADD這三種代幣。

攻擊者最終成功用這些代幣買入了EOS。Newdex透露，攻擊者拿到了4028個EOS（價值2萬美元），并且轉入了加密貨幣交易所Bitfinex。Newdex dApp用戶因此承受了5.8萬美元的損失。

Newdex團隊已經(jīng)就本次事件公開道歉，但依然沒有說明將如何補償受影響的用戶。

造成這個漏洞的原因有兩點：首先，任何人都可以用EOS網(wǎng)絡創(chuàng)建代幣，命名也不受限制——很顯然，就算你想叫自己的幣“EOS”也不會有人反對。你只需要擁有一個EOS賬戶即可。

其次，Newdex并沒有使用智能合約。沒有智能合約就不能確認特定加密貨幣的真實性。

這一切都是因為Newdex的開發(fā)者利用了去中心化交易所（DEX）這個噱頭，把這個平臺也包裝成了一個DEX。事實上，它只是偽裝成一個資產(chǎn)交易所，背地里依然是由單個賬戶控制交易，非常的中心化。

而且某reddit網(wǎng)友其實在攻擊之前就發(fā)現(xiàn)了這個平臺的問題：

這個平臺的登錄和交易界面只是假象，讓用戶覺得自己在使用DEX，但事實上你并未把資金發(fā)送到任何智能合約，只有一個很普通的EOS賬戶‘newdexpocket’，根本不是通過智能合約運作的。

經(jīng)證實，這個“newdexpocket”賬戶根本不包含任何智能合約代碼，因此，Newdex的用戶的資金只是在個人賬戶之間進行轉移。

更糟糕的是，這個錢包的持有者和動態(tài)權限采用了同一個密鑰。這就很容易造成單一攻擊向量。大多數(shù)交易所至少還會用多重簽名錢包。

不過本次攻擊和密鑰無關，只是因為這個交易所的開發(fā)者根本沒有通過智能合約來保護用戶資金。