SpankChain втрачає $40 тис. через злам через помилку смарт-контракту

SpankChain, Криптовалюта проект, орієнтований на дорослу індустрію, зазнав зламу, в результаті якого було викрадено майже 40 000 доларів США в Ethereum ETH$3,041.86.

В а публікація в блозі опублікованому у вівторок, команда SpankChain оприлюднила злом, заявивши, що 165,38 ETH (вартістю близько 38 000 доларів на той час) було втрачено близько 18:00 за тихоокеанським стандартним часом у суботу. Вторгнення, яке, як сказано в дописі, стало можливим через помилку в смарт-контракті платіжного каналу мережі, також призвело до заморожування 4000 доларів США в токені BOOTY від SpankChain.

Очевидно, знадобилося більше 24 годин, щоб проект зрозумів, що злом відбувся, у дописі зазначено:

«На жаль, оскільки ми були в середині розслідування інших помилок смарт-контракту, ми T зрозуміли, що злом стався до 19:00 за тихоокеанським стандартним часом у неділю, після чого ми перевели Spank.Live в автономний режим, щоб запобігти надходженню додаткових коштів у смарт-контракт платіжних каналів».

З викрадених криптовалют ETH і BOOTY на суму 9300 доларів належали користувачам, а решта – проекту. Відповідно до допису в блозі, повне відшкодування буде «надіслано безпосередньо на облікові записи SpankPay користувачів і буде доступно, щойно ми перезавантажимо Spank.Live».

SpankChain попередив про 2–3-денну затримку, поки її розробники виправлять проблему злому, перезапустять новий смарт-контракт і вирішать інші проблеми з контрактом, над якими вже працювали. Також тимчасово введено обмеження на використання токенів BOOTY.

Наразі команда каже, що атака була спричинена помилкою «повторного входу», подібною до ONE , яка дозволила великий хак Крипто DAO у 2016 році.

«Зловмисник створив зловмисний контракт, який маскується під токен ERC20, де функція «переказу» кілька разів викликала контракт платіжного каналу, щоразу виснажуючи частину ETH », — повідомила команда, додавши, що найближчими днями вона проведе «поглиблене розслідування атаки».

SpankChain також визнав, що вирішив не платити за аудит безпеки для контракту платіжного каналу через пов’язані з цим витрати. Проте, «беручи до уваги цінність сприйняття та альтернативну вартість часу, витраченого на реакцію на злом, це було б того варте», — йдеться у дописі.

Фірма дійшла висновку, пообіцявши покращити свою практику безпеки, «переконавшись у проведенні кількох внутрішніх аудитів для будь-якого коду смарт-контракту, який ми публікуємо, а також принаймні ONE професійного зовнішнього аудиту».

Вміст для дорослих зображення через Shutterstock