第三方代发空投平台 AirDropsDAC 的合约私钥泄露导致 HVT token 被盗

背景

HireVibes 是基于EOS 的求职平台,连接求职者、雇主、推荐人和招聘人员,通过同行推荐来填补空缺职位,从而创建一个拥有合理招聘费用的公平激励模型。近期正在发放空投,由于第三方代发空投平台 AirDropsDAC 的合约私钥泄露导致 HVT token 被盗。


攻击者账号:sym111111add(另一个私钥泄露被攻击者利用的账户); gizdkmjvhege

攻击手法:第三方代发空投合约私钥泄露

损失(EOS):2,514

始末

2018年11月12日,AirDropsDAC(代空投平台) 合约账户的大量 HVT 在非本人操作下转入到了 sym111111add 账户,随后该账户在去中心化交易平台 Newdex 套现 2,514 EOS, 这笔 EOS 随后又被转入到 gizdkmjvhege 账户。


据 IMEOS 分析,账户 sym111111add 为新加坡节点 EOSIO.SG 的测试账户,由于私钥在 Github 泄露被黑客 (gizdkmjvhege 账户持有者)盗用,并利用此账号将盗得的 HVT 在 Newdex 交易换取 2,514 EOS,并且转移到账户 gizdkmjvhege。

ECAF 在昨天发出了冻结该账户的紧急仲裁令,但是账户里的 EOS 已经被转移到了 OTCBTC 平台。通过转账记录查询,除了 HVT toen,在同一时间段从AirDropsDAC(代空投平台) 合约账户丢失的还有 ZKS token。

emmm...简单地说这就是一个黑客利用两个泄露私钥的账户谋取 EOS 的故事。事发后 HireVibes 项目方也第一时间站出来,澄清了是第三方平台的漏洞,但是经此事件会更加小心地监督以及向第三方服务平台提醒,这件事情正在进一步调查,不过项目进度不会受到影响,HireVibes Beta 版本会在 2019 年初发布出来。

MORE Wallet 早在钱包推行之初就万般强调助记词和私钥千万不能放在联网的设备里,设置仅自己可见也不行!如果怀疑私钥或助记词私钥泄露,可以进入钱包的管理账号页面重置私钥。

*文章为作者独立观点,不代表BSCEC立场

转载此文章须经作者同意,并请附上出处(IMEOS)及本页链接。原文链接 https://mp.weixin.qq.com/s/DnhtzdWeRziK030FSolDbA

白帽汇安全研究院转载2018-11-20 10:31:00 IMEOS 2190