Un hacker astuto robó SpankChain

Robarle una propina a una stripper es como robarle un caramelo a un niño. Simplemente no es bonito. Alguien necesita decirle esto al sinvergüenza que logró robar 165,38 ETH (34.000 dólares) utilizando un error en uno de los contratos inteligentes de SpankChain.

SpankChain es un contrato inteligente basado en Ethereum y BOOTY es un token ERC-20 que se emite a los bailarines durante presentaciones en vivo con cámara web. Durante el ataque, también se congelaron tokens BOOTY por valor de 4000 dólares debido a una violación de seguridad.

SpankChain no anunció el ataque en su sitio web hasta las siguientes 24 horas porque estaba ocupado investigando otros errores de contratos inteligentes y no se dio cuenta del incidente. Y aunque la investigación aún está en curso, la empresa explicó en detalle cómo sucedió exactamente esto, indicando la dirección del atacante, el contrato malicioso y las transacciones internas asociadas al mismo. Resulta que el hacker utilizó el mismo error que otro hacker usó en un ataque al proyecto DAO. A saber: un error llamado "llamada recursiva", que le permite retirar tokens repetidamente y recuperar ETH dentro de la misma transacción. 

Cabe señalar que SpankChain se tomó esto más en serio que muchos otros sitios que son víctimas de fallas de seguridad y se ha propuesto la tarea de compensar a todos los usuarios que perdieron fondos en el ataque. La compañía planea llevar a cabo un lanzamiento aéreo de ETH sobre todos los ETH y BOOTY robados por valor de $9,300.

La compañía ahora también ha decidido pagar una tarifa de auditoría de $30,000 - $50,000, considerando que la auditoría de $17,000 de Zeppelin es insuficiente. SpankChain dijo en un comunicado que pagar más por la seguridad es una decisión prudente y pragmática.

El sitio ha prometido mejorar sus prácticas de seguridad en el futuro y espera que todos los usuarios y bailarines recopilen aún más BOOTY.

Basado en materiales de bitcoinist.com