SpankChain, криптовалютный проект, ориентированный на индустрию развлечений для взрослых, пострадал от уязвимости, в результате которой было похищено около $40 000 в ETH.
Во вторник команда SpankChain опубликовала в своем блоге на Medium запись, где раскрыла информацию о взломе. Согласно заявлению, 165.38 ETH (около $38 000) были украдены в субботу, примерно в 18:00 по тихоокеанскому времени.
Проникновение в систему было допущено по причине ошибки в смарт-контракте платежного канала сети, которая также привела к заморозке собственных токенов проекта (BOOTY) на сумму $4 000. По всей видимости, команда SpankChain обнаружила взлом лишь по прошествии более 24 часов. В записи говорится:
«К сожалению, поскольку мы расследовали другие ошибки смарт-контракта, мы не знали о взломе до семи часов вечера воскресенья. После этого мы перевели Spank.Live в автономный режим, чтобы не допустить внесения каких-либо дополнительных средств в платежные каналы смарт-контракта».
Из украденных криптовалют пользователям принадлежали ETH и BOOTY на общую сумму $9 300, остальные токены принадлежали проекту.
Согласно сообщению в блоге, полные возвраты средств будут «осуществляться напрямую на учетные записи пользователей в SpankPay и станут доступны сразу после перезагрузки Spank.Live».
SpankChain предупредил, что это может занять 2-3 дня, так как разработчики будут исправлять ошибку, связанную с взломом, внедрять новый смарт-контракт, а также исправлять другие проблемы, над которыми они начали работать ранее. Также были временно введены ограничения на использование токенов BOOTY.
Как заявила команда проекта, по всей видимости, атака была вызвана ошибкой «повторного входа», аналогичной той, которая позволила осуществить взлом криптовалютного проекта DAO в 2016 году.
«Злоумышленник создал вредоносный контракт, маскирующийся под токен ERC20, где функция «transfer» неоднократно возвращалась в платежный канал контракта, каждый раз выводя несколько ETH», – рассказали представители SpankChain, добавив, что проект проведет более «углубленное расследование взлома» в ближайшие дни.
SpankChain также признался, что решил не платить за аудит безопасности платежного канала смарт-контракта из-за связанных с этим расходов. Однако «принимая во внимание как ценность, так и альтернативную стоимость времени, потраченного на обработку взлома, это бы того стоило».
Команда завершила свое заявление обещанием улучшить методы обеспечения безопасности, включая «осуществление нескольких внутренних аудитов для любого кода смарт-контракта, а также по крайней мере один профессиональный внешний аудит».