Haker w kasynie: wygrał 24 razy w ciągu godziny, zgarnął 23 tys. dolarów

Ofiarą ataku jest zdecentralizowane cyfrowe kasyno DEOS Games, operujące na kryptowalucie i obiecujące prawdziwie losowe wyniki, które można zweryfikować z pomocą blockchaina. Straty zostały oszacowane na prawie 23 tysiące dolarów. Atakujący posługiwał się kontem „runningsnail”, założonym zaledwie dzień przed atakiem. Zainwestował 339 tokenów EOS o wartości 1695 dolarów (kurs może ulec zmianie), a „od stołu” odszedł mając na koncie 4728 tokenów o wartości 23 640 dolarów. 24 główne wygrane zdobył w ciągu niecałej godziny.

Wypłaty z kasyna można sprawdzić z pomocą EOS Blockchain Explorera. Śledząc transakcje znajdziemy podejrzanie szybko następujące po sobie wypłaty sporych nagród ze wspomnianego kasyna, zupełnie jakby były automatyczne. Przerwy między nimi mają średnio 30 sekund. Przeglądając historię znajdziemy też transakcje z innych serwisów hazardowych, gdzie prawdopodobnie „runningsnail” szuka podobnych podatności.

DEOS Games, firma prowadząca kasyno, potwierdziła atak, ale nie znamy szczegółów wykorzystanej luki. Nie wiemy też, czy podatne są tylko kasyna, a może cały system kontraktów EOS, co miałoby fatalne konsekwencje na rynku kryptowalut. Wiemy jedynie, że wykorzystany został exploit kontraktów. Od tego czasu wprowadzone zostały dodatkowe zabezpieczenia, dzięki czemu oszukanie kasyna w ten sposób nie jest już możliwe. W podobny sposób kilka tygodni wcześniej zaatakowane zostało kasyno EOSBet. Badanie tamtej luki okazało się bardzo owocne i przy okazji odkryta została krytyczna wada całego blockchaina EOS.

Oczywiście jeśli porównamy kwotę 23 tysięcy dolarów do innych przekrętów i kradzieży kryptowalut, atak na kasyno wydaje się śmiesznie mały. Widać jednak, że rośnie popularność mniejszych napadów. Ponieważ kradzione są niewielkie kwoty, ataki nie są nagłaśniane.