EOSIO에 대한 지속적인 악용으로 인해 공격자는 거래로 블록을 채우기 위해 지불하여 도박 dApp EOSPlay의 모든 롤을 이길 수 있습니다. 지금까지 공격자는 네트워크를“사용할 수 없게”만들면서 110,000 달러가 넘는 30,000 개의 EOS를 얻었습니다.
악용의 규모
현명한 공격자는 RAM과 CPU를위한 EOS 리소스 교환 인 REX를 사용하여 블록이 거래로 채워져 도박 dApp EOSPlay에서 지속적으로 승리 할 수있었습니다. 그 결과 다른 소스에서 확인한 바와 같이 수천 개의 EOS가 공격자의 지갑에 공급되면서 EOSIO 네트워크가 “동결”되었습니다.
Jared Moore는 활발한 커뮤니티 회원 인 CryptoSlate에 300 달러 (1,000 달러가 조금 넘는 가치)의 EOS가 30,000 개의 EOS 토큰을 제거 할 수 있다고 말했다. 관련된 온 체인 거래를 보면 공격이 확인됩니다.
ERC-233 토큰을 만든 익명의 스마트 컨트랙트 개발자 중 한 명은이 공격이 단순한 EOSPlay 이상의 영향을 미쳤을 수 있다고 말했습니다. 공격자는 여러 개의 다른 스마트 계약을 악용하기 위해 여러 계정을 활용하는 것으로 보입니다.
공격의 역학
공격의 배후 방법에 대해 EOSIO Alabama는 REX에서 CPU 리소스에 대한 청구 비율이 동적으로 증가한다고 설명했습니다.
“공격자보다 EOS가 더 많지 않으면 모든 사람이 기본적으로 잠겨 있습니다.”
이 경우 공격자는 약 900,000 개의 EOS를 스테이크에 할당하여 CPU에 할당하여 다른 사람이 리소스에 액세스하지 못하게하는 것 같습니다. 익명의 보안 엔지니어는이 이론을지지하면서 “네트워크 정체로 인해 공격자가 대부분의 사용자에게 비용이 너무 많이 들기 때문에 트랜잭션을 보내지 못하게했습니다”라고 말했습니다.
같은 개발자는 그의 EOS가 정체가 얼마나 심각했는지를 나타내는 지표 인 EOSIO가 보통 0.2 %의 네트워크 리소스 만 스테이크 러에게 분배 할 것이라고 말했다.
더 교활한 점 : 스마트 계약의 소유자는 위에서 설명한 것처럼 네트워크 정체와 네트워크 리소스 부족으로 인해 계약을 비활성화하는 데 어려움을 겪을 것이라고 개발자는 말했습니다. 무어는 포크 나 패치가있을 때까지 EOSIO 사용자가 REX에 1,000 달러 이상을 쓸 때마다 악용 될 수 있다고 덧붙였다.
익스플로잇이 수정 될 때까지 EOSPlay를 피해야합니다. 나머지 네트워크의 경우 사람들의 자금이 악용으로 인한 위험에 노출되어서는 안됩니다.
