SpankChain, криптовалютный проект, орієнтований на індустрію розваг для дорослих, постраждав від вразливості, в результаті якої було викрадено близько $40 000 в ETH.
У вівторок команда SpankChain опублікувала у своєму блозі на Medium запис, де розкрила інформацію про злом. Згідно із заявою, 165.38 ETH (близько $38 000) були вкрадені у суботу, приблизно о 18:00 за тихоокеанським часом.
Проникнення в систему було допущено через помилки в смарт-контракті платіжного каналу мережі, яка також призвела до заморожування власних токенів проекту (BOOTY) на суму $4 000. По всій видимості, команда SpankChain виявила взлом лише після більше 24 годин. У записі йдеться:
«На жаль, оскільки ми розслідували інші помилки смарт-контракту, ми не знали про злом до семи годин вечора неділі. Після цього ми перевели Spank.Live в автономний режим, щоб не допустити внесення будь-яких додаткових коштів платіжні канали смарт-контракту».
З вкрадених криптовалют користувачам належали ETH і BOOTY на загальну суму $9 300, решта токени належали проекту.
Згідно з повідомленням у блозі, повні повернення коштів будуть здійснюватися безпосередньо на облікові записи користувачів в SpankPay і стануть доступні відразу після перезавантаження Spank.Live».
SpankChain попередив, що це може зайняти 2-3 дні, так як розробники будуть виправляти помилку, пов’язану із зломом, впроваджувати новий смарт-контракт, а також виправляти інші проблеми, над якими вони почали працювати раніше. Також були тимчасово введено обмеження на використання токенів BOOTY.
Як заявила команда проекту, по всій видимості, атака була викликана помилкою «повторного входу», аналогічної тій, яка дозволила здійснити злом криптовалютного проекту DAO в 2016 році.
«Зловмисник створив шкідливий контракт, маскирующийся під токен ERC20, де функція «transfer» неодноразово поверталася в платіжний канал контракту, кожен раз виводячи кілька ETH», – розповіли представники SpankChain, додавши, що проект проведе більш поглиблене розслідування злому» в найближчі дні.
SpankChain також зізнався, що вирішив не платити за аудит безпеки платіжного каналу смарт-контракту через пов’язаних з цим витрат. Однак «беручи до уваги як цінність, так і альтернативну вартість часу, витраченого на обробку злому, це того варте».
Команда завершила свою заяву обіцянкою поліпшити методи забезпечення безпеки, включаючи «здійснення декількох внутрішніх аудитів для будь-якого коду смарт-контракту, а також принаймні один професійний зовнішній аудит».
Thanks!
Our editors are notified.