SpankChain Mendapat “Spanked;” Kehilangan 165 Ether di Smart Contract Hack

Platform blockchain hiburan dewasa SpankChain menjadi korban peretasan yang menelan biaya awal 165,35 ETH, senilai $ 38.000 pada saat itu, dan membekukan sekitar $ 4,000 token BOOTY.

SpankChain mengumumkan dalam posting blog bahwa kontrak cerdasnya telah diretas pada akhir pekan oleh cybercriminal yang tidak diketahui. Startup menemukan pelanggaran pada hari Minggu malam dan segera mengambil Spank . Hidup offline untuk mencegah kerusakan finansial lebih lanjut ke startup dan penggunanya.

Si penyerang berhasil mencuri sekitar $ 38.000 senilai ETH dan membekukan token BOOTY senilai $ 4.000 melalui tindakannya.

Dari sekitar $ 40.000 dicuri / dibekukan selama serangan cyber, sekitar $ 9.300 token milik pengguna. SpankChain mengatakan bahwa itu akan mengembalikan pengguna dana mereka yang hilang melalui ETH airdrop langsung ke rekening SpankChain mereka sesegera Spank.Live akan kembali online. Reboot diharapkan untuk akhir pekan ini, dan pengguna tidak perlu melakukan apa pun kecuali menunggu akun mereka diisi ulang dengan ETH.

Peretas yang tidak dikenal itu berhasil mengeksploitasi bug "reentrancy", mirip dengan yang ada dalam peretasan DAO pada Juni 2016, dengan membuat kontrak cerdas berbahaya yang meniru token ERC20 yang dapat menghabiskan ETH beberapa kali sebagai fungsi "transfer" yang dipanggil kembali ke saluran pembayaran, menurut SpankChain.

Kontrak peretas awalnya disebut createChannel, yang mereka gunakan untuk mengatur saluran dan kemudian disebut LCOpenTimeout berulang kali melalui reentrancy. LCOpenTimeout ada untuk memungkinkan pengguna untuk keluar dari saluran pembayaran dengan cepat yang belum bergabung oleh pihak-pihak lawan.

LCOpenTimeout mentransfer pengguna awal ETH dan token saldo awal, yang keduanya awalnya ditetapkan dalam fungsi createChannel. Fungsi LCOpenTimeout semata-mata menghapus data saluran di-rantai setelah fungsi transfer token digital, yang memungkinkan kontrak cerdas berbahaya peretas untuk memanggil LCOpenTimeout dalam tampilan untuk berulang kali mengirim jumlah yang sama dari ETH yang dijalani cybercriminal di saldo saluran mereka.

Sementara SpankChain melakukan audit keamanan kontrak cerdas yang dilakukan untuk pustaka saluran pembayaran searah sebelumnya, perusahaan memutuskan untuk tidak mengaudit saluran pembayaran yang ada karena biaya tinggi yang dikutip untuk peninjauan tersebut dan pengembangan berkelanjutan platformnya, yang akan membutuhkan biaya lebih lanjut. audit di jalan.

Namun, SpankChan telah berjanji untuk meningkatkan praktik keamanannya ke depan untuk mencegah peretasan lain seperti ini mempengaruhi platform dan penggunanya.

“Ketika kami bergerak maju dan tumbuh, kami akan meningkatkan praktik keamanan kami, dan memastikan untuk mendapatkan beberapa audit internal untuk setiap kode kontrak pintar yang kami publikasikan, serta setidaknya satu audit eksternal profesional,” kata SpankChain dalam pernyataannya.