SpankChain теряет $40 тыс. из-за взлома из-за ошибки смарт-контракта

SpankChain, Криптовалюта проект, ориентированный на индустрию для взрослых, подвергся взлому, в результате которого было украдено почти 40 000 долларов США в Ethereum (ETH).

Взапись в блоге Опубликовано во вторник, команда SpankChain раскрыла взлом, заявив, что 165,38 ETH (стоимостью около $38 000 на тот момент) были утеряны около 18:00 PST в субботу. Вторжение, которое, как говорится в сообщении, стало возможным из-за ошибки в смарт-контракте платежного канала сети, также привело к заморозке $4000 в токене BOOTY SpankChain.

Судя по всему, проекту потребовалось более 24 часов, чтобы понять, что взлом имел место, а в сообщении говорилось:

«К сожалению, поскольку мы были заняты расследованием других ошибок смарт-контрактов, мы T знали, что взлом произошел до 19:00 по тихоокеанскому времени в воскресенье, после чего мы отключили Spank.Live, чтобы предотвратить зачисление дополнительных средств на смарт-контракт платежных каналов».

Из украденных криптовалют $9300 ETH и BOOTY принадлежали пользователям, а остальное — проекту. Согласно сообщению в блоге, полный возврат средств будет «отправлен непосредственно на счета пользователей SpankPay и станет доступен, как только мы перезагрузим Spank.Live».

SpankChain предупредил о задержке в 2–3 дня, пока его разработчики исправят проблему, стоящую за взломом, повторно развернут новый смарт-контракт и исправят другие проблемы контрактов, над которыми уже велась работа. Также были временно введены ограничения на использование токенов BOOTY.

На данный момент, по словам команды, похоже, что атака была вызвана ошибкой «повторного входа», похожей на ONE , которая позволила крупный взлом Криптo The DAO в 2016 году.

«Злоумышленник создал вредоносный контракт, маскирующийся под токен ERC20, в котором функция «перевода» многократно вызывалась в контракте платежного канала, каждый раз изымая некоторое количество ETH », — заявила команда, добавив, что в ближайшие дни она проведет «глубокое расследование атаки».

SpankChain также признала, что решила не платить за аудит безопасности для контракта на платежный канал из-за связанных с этим расходов. Однако «принимая во внимание как ценность восприятия, так и альтернативную стоимость времени, потраченного на реагирование на взлом, это стоило того», — говорится в сообщении.

В заключение компания пообещала улучшить свои методы обеспечения безопасности, «обязательно проводя несколько внутренних аудитов для любого публикуемого нами кода смарт-контракта, а также по крайней мере ONE профессиональный внешний аудит».

Контент для взрослыхизображение через Shutterstock