Ang SpankChain ay Nawalan ng $40K sa Hack Dahil sa Smart Contract Bug

Ang SpankChain, isang proyektong Cryptocurrency na nakatuon sa industriya ng mga nasa hustong gulang, ay dumanas ng isang paglabag na nakitang ninakaw ang halos $40,000 sa Ethereum (ETH).

Sa isang post sa blog na inilathala noong Martes, isiniwalat ng koponan ng SpankChain ang hack, na nagsasabing 165.38 ETH (na nagkakahalaga ng humigit-kumulang $38,000 noong panahong iyon) ang nawala sa bandang 18:00 PST noong Sabado. Ang panghihimasok, na sinabi ng post na naging posible ng isang bug sa smart contract ng channel sa pagbabayad ng network, ay nagdulot din ng $4,000 sa BOOTY token ng SpankChain na ma-freeze.

Tila tumagal ng mahigit 24 na oras bago napagtanto ng proyekto na naganap ang pag-hack, kasama ang post na nagsasabing:

"Sa kasamaang-palad, habang nasa kalagitnaan kami ng pagsisiyasat ng iba pang mga bug sa smart contract, T namin namalayan na naganap ang pag-hack hanggang 7:00pm PST Linggo, kung saan kinuha namin ang Spank.Live offline upang maiwasan ang anumang karagdagang mga pondo na mai-deposito sa smart contract ng mga channel ng pagbabayad."

Sa mga ninakaw na crypto, ang $9,300 na halaga ng ETH at BOOTY ay pagmamay-ari ng mga user, at ang natitira ay sa proyekto. Ayon sa post sa blog, ang buong refund ay "direktang ipapadala sa mga SpankPay account ng mga user, at magiging available sa sandaling i-reboot namin ang Spank.Live."

Nagbabala ang SpankChain tungkol sa 2–3 araw na pagkaantala habang ang mga developer nito ay nag-aayos ng isyu sa likod ng pag-hack, muling i-deploy ang isang bagong matalinong kontrata at ayusin ang iba pang mga isyu sa kontrata na inaayos na. Pansamantala ring inilagay ang mga limitasyon sa paggamit ng mga BOOTY token.

Sa ngayon, sabi ng koponan, tila ang pag-atake ay dahil sa isang "reentrancy" na bug, katulad ng ONE na nagpapahintulot sa isang pangunahing hack ng The DAO Crypto project noong 2016.

"Ang umaatake ay lumikha ng isang malisyosong kontrata na nagpapanggap bilang isang token ng ERC20, kung saan ang function na 'transfer' ay tumawag pabalik sa kontrata ng channel ng pagbabayad nang maraming beses, na nag-drain ng ilang ETH sa bawat oras," sabi ng team, at idinagdag na magsasagawa ito ng "malalim na pagsisiyasat sa pag-atake" sa mga darating na araw.

Dagdag pa ng SpankChain na nagpasya itong hindi magbayad para sa isang pag-audit ng seguridad para sa kontrata ng channel ng pagbabayad dahil sa mga gastos na kasangkot, Gayunpaman, "isinasaalang-alang ang parehong halaga ng pang-unawa at gastos ng pagkakataon ng oras na ginugol sa pagtugon sa hack, ito ay magiging sulit," sabi ng post.

Nagtapos ang firm sa pamamagitan ng pangakong mapapabuti nito ang mga kasanayan sa seguridad nito, "siguraduhing makakuha ng maramihang panloob na pag-audit para sa anumang matalinong code ng kontrata na nai-publish namin, pati na rin ang hindi bababa sa ONE propesyonal na panlabas na pag-audit."

Pang-adultong nilalaman larawan sa pamamagitan ng Shutterstock