Contrato inteligente de SpankChain comprometido, piratas informáticos toman $ 38,000 en Ethereum (ETH)

Protocolo de entretenimiento para adultos basado en blockchain SpankChain reveló el robo de 165.8 éter (ETH), con un valor de $ 38,000 en ese momento. El movimiento se produjo después de que los piratas informáticos explotaran un error de contrato inteligente en el protocolo, según un comunicado oficial el 9 de octubre.


SPANK es “Spanked”

Como se dijo, el hackeo tuvo lugar el 6 de octubre cuando el equipo de SpankChain estaba investigando varios errores en el protocolo de valor de $ 22.4 millones. Del total del recorrido, los tokens 34.99 ETH y 1271.88 BOOTY, que se generan cuando se apilan los tokens SPANK, pertenecen a los usuarios, y SpankChain es el propietario.

El equipo rápidamente desconectó su servicio de transmisión de Spank.Live al localizar el robo, y desde entonces ha cerrado su sitio de cámara para evitar las transacciones de fondos robados en el contrato inteligente del canal de pago. Curiosamente, el equipo se enteró del ataque el 7 de octubre, un día después del robo real.

Para los no iniciados, SpankChain es un protocolo multi-token que utiliza tokens SPANK con el fin de replantear y crear contratos inteligentes. Al apostar, los usuarios reciben tokens BOOTY en proporción a su monto apostado para usarlos en la compra de los servicios del sitio y los modelos de volcado. Los últimos son canjeables por tokens de SPANK en el llamado SpankBank, y el acceso nefasto a tokens de BOOTY significa dinero gratis para los piratas informáticos si los cobran rápidamente.

El equipo anunció un reembolso de los fondos robados a sus usuarios y está preparando un ETH y un BOOTY. entrega por paracaídas un valor de $ 9,300, la cantidad robada de los fondos del usuario, para cubrir pérdidas y crear una imagen de marca sólida. Los tokens lanzados desde el aire se depositarán en la cuenta de SpankBank de un usuario y estarán disponibles cuando se reinicie Spank.Live, con el equipo garantizando que los tokens se acrediten una vez que todos los sistemas se estén ejecutando nuevamente.

SpankChain explicó que el retraso en el lanzamiento del sitio de la cámara se debe a razones de seguridad y desarrollo. El equipo apunta a parchar todos los errores en la red, actualizar Spank.Live con un nuevo contrato inteligente para evitar que se repita, y corregir los errores descubiertos durante la actualización de BOOTY.

Como parte de la seguridad incorporada del contrato inteligente, 4,000 fichas BOOTY fueron “inmovilizadas” cuando ocurrió el robo. Sin embargo, aunque el sitio funcionará normalmente, los tokens bloqueados significan que SpankChain reducirá el límite de BOOTY para cada espectador a diez por usuario, lo que no permite más de la cantidad. Los usuarios que depositen ETH adicional sin conocer este punto tampoco deben desesperarse, ya que los fondos adicionales se recargarán inmediatamente en tramos de 10 BOOTYs.

Ataque explicado

Al explicar el ataque, el equipo cree que los piratas informáticos se infiltraron en un error conocido de “reentrancia”; la misma falacia explicaba la infame DAO cortar. Los atacantes crearon un contrato inteligente disfrazado de ERC20 token, donde la función de “transferencia” permitió que los fondos “pagados” se enviaran al contrato del canal de pago varias veces.

El contrato malicioso abrió un canal de pago y permitió a los piratas ingresar y salir del contrato sin la presencia de una contraparte. Desafortunadamente, la función nativa “LCOpenTimeout” provocó que solo se eliminara la cadena y que los piratas informáticos realizaran otro pago en el mismo contrato; creando así un bucle. Al transferir tokens al contrato inteligente y viceversa, los hackers pudieron obtener un ETH equivalente a su saldo inicial de SPANK.

SpankChain admitió que decidieron no realizar una auditoría de seguridad para el contrato del canal de pago, alegando costos elevados. La compañía contrató a la firma de auditoría de blockchain Zeppelin para investigar un error en la biblioteca de canales unidireccionales, pero enfrentó un dilema cuando la tarifa de la auditoría de $ 17,000 superó los fondos en poder del contrato.

En conclusión, el equipo observó que todos los errores de seguridad se han identificado y se están reparando. Además, lo hacen obligatorio para múltiples auditorías “internas” para todos los códigos de contratos inteligentes publicados en el protocolo SpankChain, y “al menos” una auditoría externa.

Para aquellos interesados, SpankChain ha hecho público el contrato del canal de pago del pirata informático, la dirección del atacante, la dirección interna del atacante, la dirección del contrato malicioso.


Foto de portada por Charles Deluvio en Unsplash


¡Asegúrese de no perderse ninguna noticia importante relacionada con Criptomonedas! Sigua nuestro feed de noticias de la forma que prefieras; a través de Twitter, Facebook, Telegram, RSS o correo electrónico (desplácese hacia abajo hasta la parte inferior de esta página para suscribirse). Bitcoin nunca duerme. Tampoco nosotros.


Descargo de Responsabilidad: Este comunicado de prensa es sólo para fines informativos, la información no constituye consejo de inversión o una oferta para invertir. Las opiniones expresadas en este artículo son las del autor y no representan necesariamente los puntos de vista de CriptomonedaseICO, y no deben ser atribuidas a, CriptomonedaseICO.


¿Utilizas Telegram? Únete a la mejor comunidad de trading en Telegram para recibir Señales Exclusivas de Compra y Venta de criptomonedas, acceso a nuestros Cursos Gratuitos, debates y análisis de proyectos! // www.criptomonedaseico.com

Deja una respuesta

Su dirección de correo electrónico no será publicada.

Suscríbete a nuestro Boletín de Noticias
Regístrese aquí para recibir las últimas noticias y actualizaciones directamente en su bandeja de entrada.
Puedes darte de baja en cualquier momento

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Accept Read More