Криптовалютный проект SpankChain обокрали на $40 000 из-за бага в смарт-контракте
Криптовалютный проект SpankChain, ориентированный на индустрию взрослых развлечений, пострадал от несанкционированного доступа, в результате чего недосчитался около $40 000 в ETH.
9 октября в своём блоге команда SpankChain сообщила о взломе, заявив, что в субботу, 6 октября, были потеряны 165,38 ETH ($38 000 на тот момент). Вторжение злоумышленника стало возможным из-за ошибки в смарт-контракте платёжного канала сети. Это также вынудило команду заморозить $4000 в токенах BOOTY сети SpankChain.
По-видимому, команде потребовалось больше суток, чтобы понять, что произошёл взлом:
К сожалению, поскольку мы занимались изучением других ошибок смарт-контракта, мы не могли понять, что взлом произошёл до семи вечера по тихоокеанскому времени в субботу. После этого мы перевели Spank.Live в автономный режим, чтобы не допустить внесения каких-либо дополнительных средств в смарт-контракты платёжных каналов.
Из украденных криптовалют эфир и BOOTY на $9300 принадлежали пользователям, а остальное — проекту. Клиентам обещают вернуть все средства. Они будут доступны после перезагрузки Spank.Live.
Пока команда пришла к выводу, что атака была вызвана так называемой ошибкой повторного входа, аналогичной той, которая позволила произвести серьёзный взлом DAO в 2016 году. Пообещав «углублённое расследование» в ближайшие дни, представители проекта сообщили:
Злоумышленник создал вредоносный контракт, маскирующийся под токен ERC20, где функция «пересылка» неоднократно возвращалась в контракт платёжного канала и сливала средства.
В SpankChain также признали, что сэкономили на аудите безопасности для смарт-контракта платёжного канала и теперь очень жалеют об этом.