Хитрий хакер пограбував SpankChain

Вкрасти чайові у стриптизерки - це все одно, що відібрати цукерку у дитини. Це просто негарно. Хтось повинен сказати про це негіднику, якому вдалося вкрасти 165.38 ETH ($34 000), використовуючи помилку в одному із смарт-контрактів SpankChain.

SpankChain – це смарт-контракт на основі Ethereum, а BOOTY – це токен ERC-20, який видається танцівницям під час виступів на веб-камеру в режимі реального часу. Під час злому через порушення безпеки були також заморожені токени BOOTY на суму 4 000 доларів США.

Компанія SpankChain оголосила про атаку на своєму веб-сайті лише наступної доби, оскільки була зайнята розслідуванням інших помилок смарт-контракту і не помітив події. І хоча розслідування ще ведеться, компанія докладно пояснила, як саме це сталося, зазначила адресу зловмисника, шкідливий контракт та внутрішні транзакції, пов'язані з ним. Виявляється, хакер використав ту ж помилку, яку використовував інший хакер в атаці на проект DAO. А саме: помилку під назвою «рекурсивний виклик», яка дозволяє багаторазово знімати токени та повторно збирати ETH у рамках однієї транзакції. 

Слід зазначити, що компанія SpankChain поставилася до цього серйозніше, ніж багато інших майданчиків, які стають жертвами недоліків у системі безпеки, і поставила собі завдання відшкодувати збитки всім користувачам, які втратили кошти при атаці. Компанія планує здійснити ETH-airdrop щодо всіх вкрадених ETH та BOOTY вартістю 9 300 доларів.

Компанія також вирішила тепер заплатити за аудит 30 000 - 50 000 доларів США, вважаючи перевірку за 17 000 доларів, здійснену компанією Zeppel, здійснену компанією Zeppel. У своїй заяві представники SpankChain зазначили, що платити більше за безпеку - це виважене, прагматичне рішення.

Майданчик пообіцяв покращити свої методи забезпечення безпеки в майбутньому, і сподівається, що всі користувачі та танцівниці зберуть ще більше BOOTY.

За матеріалами bitcoinist.com