Seorang peretas licik merampok SpankChain

Mencuri tip dari penari telanjang sama seperti mencuri permen dari seorang anak kecil. Itu tidak cantik. Seseorang perlu memberitahukan hal ini kepada bajingan yang berhasil mencuri 165,38 ETH ($34,000) menggunakan bug di salah satu kontrak pintar SpankChain.

SpankChain adalah kontrak pintar berbasis Ethereum, dan BOOTY adalah token ERC-20 yang dikeluarkan untuk penari selama pertunjukan webcam langsung. Selama peretasan, token BOOTY senilai $4.000 juga dibekukan karena pelanggaran keamanan.

SpankChain tidak mengumumkan serangan tersebut di situs webnya hingga 24 jam berikutnya karena sibuk menyelidiki kesalahan kontrak pintar lainnya dan tidak menyadari kejadian tersebut. Meskipun penyelidikan masih berlangsung, perusahaan menjelaskan secara rinci bagaimana sebenarnya hal ini terjadi, dengan menunjukkan alamat penyerang, kontrak berbahaya, dan transaksi internal yang terkait dengannya. Ternyata peretas tersebut menggunakan bug yang sama dengan yang digunakan peretas lain dalam serangan terhadap proyek DAO. Yaitu: bug yang disebut “panggilan rekursif”, yang memungkinkan Anda menarik token berulang kali dan mengumpulkan kembali ETH dalam transaksi yang sama. 

Perlu dicatat bahwa SpankChain menanggapi hal ini dengan lebih serius dibandingkan banyak situs lain yang menjadi korban kelemahan keamanan, dan telah menetapkan tugas untuk memberikan kompensasi kepada semua pengguna yang kehilangan dana dalam serangan tersebut. Perusahaan berencana untuk melakukan airdrop ETH pada semua ETH dan BOOTY yang dicuri senilai $9.300.

Perusahaan kini juga memutuskan untuk membayar biaya audit sebesar $30.000 - $50.000, karena menganggap audit Zeppelin sebesar $17.000 tidak cukup. SpankChain mengatakan dalam pernyataannya bahwa membayar lebih untuk keamanan adalah keputusan yang bijaksana dan pragmatis.

Situs ini berjanji untuk meningkatkan praktik keamanannya di masa depan, dan berharap semua pengguna dan penari akan mengumpulkan lebih banyak BOOTY.

Berdasarkan materi dari bitcoinist.com