SpankChain потеряла тысячи долларов из-за бага в смарт-контракте

Вследствие ошибки в смарт-контракте блокчейн-платформы SpankChain, предоставляющей адалт-контент, было утеряно больше $40 000. При этом, на осознание случившегося понадобилось более суток.

Вчера разработчики SpankChain оповестили клиентов о взломе, произошедшем несколько дней назад. Хакерам удалось прибрать к рукам 165.38 ETH, что на тот момент эквивалентно $38 000. Взлом удалось осуществить благодаря багу в смарт-контракте платежного канала сети, после чего программисты ресурса были вынуждены заморозить 4 тыс. долларов в эквиваленте монет BOOTY.

Команда утверждает, что долго не могла «ухватить» временной промежуток, в котором украли деньги, а когда осознали – Spank.Live сразу ушел в автономный режим, дабы багнутый смарт-контракт не позволил злоумышленникам украсть еще больше токенов.

Оказалось, что не вся похищенная сумма принадлежала пользователям, а лишь 1\4 (около 9 000 долларов), остальное же было собственностью самого проекта. Представители SpankChain заверили пострадавших, что убытки будут возмещены в полном размере после того, как произойдет перезагрузка Spank.Live.

Программисты ресурса уверены, что уязвимость «повторного входа», используемая хакерами, была идентична той, что позволила получить доступ к инвестиционному проекту DAO двумя годами ранее. Иными словами, создавался «троянский» контракт, замаскированный под токен формата ERC20, в котором функция «пересылки» возвращалась в платежный канал неограниченное количество раз.

По словам представителей сервиса, экономия на аудите безопасности смарт-контракта платежного канала вылезла боком, как для компании, так и для ее клиентов, о чем они теперь очень сожалеют.