Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте

Новости
30
0
Ориентированный на индустрию развлечений для взрослых криптовалютный проект SpankChain был взломан, в результате чего у него было украдено почти 40 тысяч долларов в Ethereum.
Команда SpankChain рассказала о взломе во вторник в своём блоге – по их словам, в воскресенье в 18:00 по Тихоокеанскому стандартному времени (в понедельник в 04:00 утра по московскому времени) у них было украдено 165,38 ETH (около 38 тысяч долларов). Взлом стал возможен из-за бага в смарт-контракте платёжных каналов; из-за него также оказались заморожены выпущенные SpankChain токены BOOTY на 4 000 долларов.
Согласно посту в блоге, команде проекта потребовалось более 24 часов, чтобы понять, что они были взломаны: «К сожалению, мы вплотную занимались другими багами смарт-контрактов и осознали, что нас взломали, лишь в воскресенье в 19:00 по Тихоокеанскому стандартному времени. В этот момент мы вывели Spank.Live в оффлайн, чтобы не допустить попадания новых средств в смарт-контракт, отвечающий за платёжные каналы».
9 300 долларов из украденных средств принадлежали пользователям, а всё остальное – проекту. Согласно посту в блоге, компенсации будут отправлены напрямую на счета пользователей SpankPay и станут доступны сразу после перезагрузки Spank.Live.
Кроме того, SpankChain предупредила пользователей о 2-3-дневной задержке – за это время разработчики надеются залатать брешь, из-за которой стал возможен этот взлом, внедрить новый смарт-контракт и решить другие проблемы, связанные со смарт-контрактами, над которыми они уже работали. Также было введено временное ограничение на использование токенов BOOTY.
На данный момент команда проекта считает, что хакерская атака стала возможна из-за уязвимости типа «reentrancy» (т.е. «рекурсивный вызов») – аналогичной той, что позволила взломать крипто-проект The DAO в 2016 году.
«Атакующий создал вредоносный контракт, маскирующийся под ERC20-токен. В нём функция трансфера несколько раз вызывалась обратно в смарт-контракт платёжных каналов, с каждым разом выуживая некоторое количество ETH», – написала команда SpankChain и добавила, что в ближайшие дни проведёт «углубленное расследование этой атаки».
SpankChain также призналась, что решила не проводить аудит системы безопасности смарт-контракта платёжных каналов, т.к. он стоил слишком дорого, «но, в виду потерянных средств и учитывая время, потраченное на работу с последствиями взлома, этот аудит провести все же стоило», – написала команда проекта.
Свой блог-пост SpankChain завершила обещанием улучшить систему безопасности, «проведя несколько внутренних аудитов для всех публикуемых смарт-контрактов, а также как минимум один профессиональный внешний аудит».

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

Первый комментарий

Информация

Комментировать статьи на сайте возможно только в течении {days} дней со дня публикации.
Buy Bitcoins with Credit Card