Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте

Ориентированный на индустрию развлечений для взрослых криптовалютный проект SpankChain был взломан, в результате чего у него было украдено почти 40 тысяч долларов в Ethereum.

Команда SpankChain рассказала о взломе во вторник в своём блоге – по их словам, в воскресенье в 18:00 по Тихоокеанскому стандартному времени (в понедельник в 04:00 утра по московскому времени) у них было украдено 165,38 ETH (около 38 тысяч долларов). Взлом стал возможен из-за бага в смарт-контракте платёжных каналов; из-за него также оказались заморожены выпущенные SpankChain токены BOOTY на 4 000 долларов.

Согласно посту в блоге, команде проекта потребовалось более 24 часов, чтобы понять, что они были взломаны: «К сожалению, мы вплотную занимались другими багами смарт-контрактов и осознали, что нас взломали, лишь в воскресенье в 19:00 по Тихоокеанскому стандартному времени. В этот момент мы вывели Spank.Live в оффлайн, чтобы не допустить попадания новых средств в смарт-контракт, отвечающий за платёжные каналы».

9 300 долларов из украденных средств принадлежали пользователям, а всё остальное – проекту. Согласно посту в блоге, компенсации будут отправлены напрямую на счета пользователей SpankPay и станут доступны сразу после перезагрузки Spank.Live.

Кроме того, SpankChain предупредила пользователей о 2-3-дневной задержке – за это время разработчики надеются залатать брешь, из-за которой стал возможен этот взлом, внедрить новый смарт-контракт и решить другие проблемы, связанные со смарт-контрактами, над которыми они уже работали. Также было введено временное ограничение на использование токенов BOOTY.

На данный момент команда проекта считает, что хакерская атака стала возможна из-за уязвимости типа «reentrancy» (т.е. «рекурсивный вызов») – аналогичной той, что позволила взломать крипто-проект The DAO в 2016 году.

«Атакующий создал вредоносный контракт, маскирующийся под ERC20-токен. В нём функция трансфера несколько раз вызывалась обратно в смарт-контракт платёжных каналов, с каждым разом выуживая некоторое количество ETH», – написала команда SpankChain и добавила, что в ближайшие дни проведёт «углубленное расследование этой атаки».

SpankChain также призналась, что решила не проводить аудит системы безопасности смарт-контракта платёжных каналов, т.к. он стоил слишком дорого, «но, в виду потерянных средств и учитывая время, потраченное на работу с последствиями взлома, этот аудит провести все же стоило», – написала команда проекта.

Свой блог-пост SpankChain завершила обещанием улучшить систему безопасности, «проведя несколько внутренних аудитов для всех публикуемых смарт-контрактов, а также как минимум один профессиональный внешний аудит».
Фото: Billion Photos
Комментарии 0
Вы должны войти на сайт, чтобы разместить свой комментарий.