Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте

Новости
12
0
Ориентированный на индустрию развлечений для взрослых криптовалютный проект SpankChain был взломан, в результате чего у него было украдено почти 40 тысяч долларов в Ethereum.
Команда SpankChain рассказала о взломе во вторник в своём блоге – по их словам, в воскресенье в 18:00 по Тихоокеанскому стандартному времени (в понедельник в 04:00 утра по московскому времени) у них было украдено 165,38 ETH (около 38 тысяч долларов). Взлом стал возможен из-за бага в смарт-контракте платёжных каналов; из-за него также оказались заморожены выпущенные SpankChain токены BOOTY на 4 000 долларов.
Согласно посту в блоге, команде проекта потребовалось более 24 часов, чтобы понять, что они были взломаны: «К сожалению, мы вплотную занимались другими багами смарт-контрактов и осознали, что нас взломали, лишь в воскресенье в 19:00 по Тихоокеанскому стандартному времени. В этот момент мы вывели Spank.Live в оффлайн, чтобы не допустить попадания новых средств в смарт-контракт, отвечающий за платёжные каналы».
9 300 долларов из украденных средств принадлежали пользователям, а всё остальное – проекту. Согласно посту в блоге, компенсации будут отправлены напрямую на счета пользователей SpankPay и станут доступны сразу после перезагрузки Spank.Live.
Кроме того, SpankChain предупредила пользователей о 2-3-дневной задержке – за это время разработчики надеются залатать брешь, из-за которой стал возможен этот взлом, внедрить новый смарт-контракт и решить другие проблемы, связанные со смарт-контрактами, над которыми они уже работали. Также было введено временное ограничение на использование токенов BOOTY.
На данный момент команда проекта считает, что хакерская атака стала возможна из-за уязвимости типа «reentrancy» (т.е. «рекурсивный вызов») – аналогичной той, что позволила взломать крипто-проект The DAO в 2016 году.
«Атакующий создал вредоносный контракт, маскирующийся под ERC20-токен. В нём функция трансфера несколько раз вызывалась обратно в смарт-контракт платёжных каналов, с каждым разом выуживая некоторое количество ETH», – написала команда SpankChain и добавила, что в ближайшие дни проведёт «углубленное расследование этой атаки».
SpankChain также призналась, что решила не проводить аудит системы безопасности смарт-контракта платёжных каналов, т.к. он стоил слишком дорого, «но, в виду потерянных средств и учитывая время, потраченное на работу с последствиями взлома, этот аудит провести все же стоило», – написала команда проекта.
Свой блог-пост SpankChain завершила обещанием улучшить систему безопасности, «проведя несколько внутренних аудитов для всех публикуемых смарт-контрактов, а также как минимум один профессиональный внешний аудит».

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.

Первый комментарий

Ваше имя: *
Ваш e-mail: *
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
Код: Кликните на изображение чтобы обновить код, если он неразборчив
Введите код:
Buy Bitcoins with Credit Card