前言：

智能合約安全咨詢公司 曲速未來 消息：前幾天，號稱能解決傳統中心化交易所弊病,開創去中心化交易新時代的全球首家基于EOS搭建的去中心化交易所Newdex，被攻擊了。

攻擊的手段跟大名鼎鼎的日收萬金的EOS大賭場——eosbet被攻擊的手段是一樣的。

eosbet，一向以團隊技術實力強勁，代碼安全性、容錯性高為業界佳話。憑借一款dice游戲，火遍全球，快速發展成全網第一的殺手DAPP。

同時，還有一個同樣的dice游戲，不一樣的項目方，排名稍微落后于bet。同一個黑客，使用同樣的手段。轉走大量EOS。

此時此刻，排名前十的EOS dapp，有3個倒在黑客的懷里腳下。

三天前，Newdex發出了被假EOS刷幣事件的公告。

一. 假EOS刷幣事件始末

1.EOS賬戶“oo1122334455”于2018-09-14 14:01:45發行1000000000個假EOS，并全額分配給dapphub12345賬戶：

2.隨即由dapphub12345轉入iambillgates賬戶（實施攻擊的賬戶）：

iambillgates賬戶于14:21:37嘗試性的多次用1個假EOS掛單委托買入IPOS和ADD，并且成功以假EOS買入IPOS和ADD：

3.攻擊可行性得到驗證后，于14:31:34至14:45:41進行大額攻擊，分多筆共11800假EOS掛市價單購買BLACK、IQ、ADD，且全部成交。

4.成功買入BLACK、IQ、ADD后，iambillgates賬戶立刻將非法獲得的Token轉入xx1234512345與x12345x12345賬戶，最終由xx1234512345在Newdex中掛市價單賣出部分非法獲得的Token，共計賣得4028個真實EOS：

（部分截圖）

5. Newdex在發現異常后，于15:52停止相關服務，立刻啟動應急措施修復系統。于16:33完成修復，恢復正常運營。

6.最后攻擊者賬戶xx1234512345于15:20:37、15:32:17、15:58:18分三次將非法獲得的4028個真實EOS充值進Bitfinex交易所，剩余1877162.0000 IQ、701948.0000 ADD留存在xx1234512345中：

為什么win、eosbet等項目也會跟著被攻擊？據相關安全技術人員表示，很可能是這些項目方，一起照搬了以下的代碼片段：

可見這個問題，很有可能存在于很多項目里。于是，很多人開始發假幣了，到各個DAPP試試，看能不能撿個漏。

結果

DAPP安全咨詢公司 曲速未來 表示：目前所知，此次假EOS刷幣事件共給Newdex用戶造成11803個EOS的損失，Newdex團隊本著負責任的態度決定承擔此次全部損失，并且也已經在第一時間修復相關問題并恢復正常運營。

這些事，是開發者寫的代碼的問題。存在各種人為bug。各種匪夷所思的攻擊手段。但是呢還是對EOS這個強大的公鏈基礎設施的信仰不用動搖。

本文內容由 曲速未來安全咨詢公司整理編譯，轉載請注明。 曲速未來提供包括主鏈安全、交易所安全、交易所錢包安全、DAPP開發安全、智能合約開發安全等相關區塊鏈安全咨詢服務。