Вчера команда SpankChain сообщила о взломе, заявив, что в субботу, 6 октября, были потеряны 165,38 ETH (38 000 долларов на тот момент).
Вероятнее всего хакеры смогли взломать систему из-за ошибки в смарт-контракте платёжного канала сети. Из-за атаки команде пришлось заморозить 4000 долларов в токенах BOOTY сети SpankChain.
Разработчикам SpankChain потребовалось больше суток, чтобы понять, что произошёл взлом.
«К сожалению, поскольку мы занимались изучением других ошибок смарт-контракта, мы не могли понять, что взлом произошёл до семи вечера по тихоокеанскому времени в субботу. После этого мы перевели Spank.Live в автономный режим, чтобы не допустить внесения каких-либо дополнительных средств в смарт-контракты платёжных каналов», — заявили представители SpankChain.
Известно, что 9300 долларов, из общей суммы украденных криптовалют эфир и BOOTY, принадлежали пользователям, а остальное — проекту. Клиентам обещают вернуть все средства. Они будут доступны после перезагрузки Spank.Live.
Специалисты SpankChain считают, что атака была вызвана так называемой ошибкой повторного входа, аналогичной той, которая позволила произвести серьёзный взлом DAO в 2016 году.
«Злоумышленник создал вредоносный контракт, маскирующийся под токен ERC20, где функция «пересылка» неоднократно возвращалась в контракт платёжного канала и сливала средства», — заявили в SpankChain.
Также команда SpankChain честно призналась, что сэкономила на аудите безопасности для смарт-контракта платёжного канала и теперь очень жалеет об этом.
