Sicherheitsverletzung endet gut für SpankChain

Der Hacker, der 165 ETH ($32.000) von SpankChain gestohlen hat, hat sich bereit erklärt, ihre unzugewollten Gewinne zurückzugeben. Der Äthereum -basierte Adult Entertainment Plattform bestätigt dies heute in einer Reihe von Tweets.

https://twitter.com/SpankChain/status/1050533900001243136

Hier, in vollem Umfang, ist sein Medium Beitrag über die Sicherheitsverletzung: „Um 18.00 Uhr PST Samstag, ein unbekannter Angreifer 165,38 ETH (~ $38.000) aus unserem Payment Channel Smart Vertrag, der auch in $4.000 BOOTY im Wert von $4.000 auf den Vertrag immobilisiert. Von der gestohlenen/immobilisierten ETH/BOOTY gehören 34,99 ETH (~ $8.000) und 1271.88 BOOTY Benutzern (~ $9.300 gesamt), der Rest gehörte SpankChain.

Leider, da wir in der Mitte der Untersuchung anderer Smart Contract Bugs waren, wussten wir nicht, dass der Hack bis 19.00 Uhr PST Sonntag stattgefunden hatte, zu diesem Zeitpunkt nahmen wir Spank.Live offline, um zu verhindern, dass zusätzliche Mittel in die Zahlungskanäle Smart Contract eingezahlt werden.

Unsere unmittelbare Priorität war es, allen Nutzern, die Geld verloren haben, vollständige Rückerstattungen zu gewähren. Wir bereiten eine ETH-Airdrop vor, um alle ETH und BOOTY im Wert von 9.300 US-Dollar abzudecken, die den Nutzern gehörten. Guthaben werden direkt an die SpankPay-Konten der Benutzer gesendet und sind verfügbar, sobald wir Spank.Live neu starten.

Unser Plan ist es, die Camsite in den nächsten 2-3 Tagen (aber möglicherweise mehr) unten zu halten, während wir:

1. Stellen Sie den Smart-Vertrag für den Payment Channel erneut mit einem Patch bereit, um zukünftige Hacks zu verhindern.
2. Aktualisieren Sie Spank.Live, um den neuen Zahlungskanal-Vertrag zu verwenden
3. Airdrop ETH entspricht 100% der ETH+BOOTY, die von jedem Benutzer auf sein SpankPay-Konto verloren wird.
4. Beheben Sie die Fehler, die wir ursprünglich um das BOOTY-Upgrade gearbeitet haben

Bis wir Spank.Live neu starten, werden alle Zuschauer und Darsteller 100% des Gesamtwerts in BOOTY+ETH haben, den sie in ihrer SpankPay-Luftabgabe an ihre aktuellen SpankPay-Adressen gespeist hatten, so dass Benutzer nichts tun müssen.

Die Seite funktioniert weiterhin genau wie zuvor mit einer einzigen Ausnahme - wegen der momentan immobilisierten 4.000 BOOTY werden wir das BOOTY-Limit für jeden Betrachter vorübergehend auf 10 BOOTY reduzieren. Das bedeutet, dass die Zuschauer nur 10 BOOT gleichzeitig kippen können, und wenn sie alle 10 BOOT ausgeben, werden sie automatisch ihre 10 BOOT mit jeder zusätzlichen ETH-Einzahlung aufladen, bis sie ihr ETH-Guthaben vollständig erschöpfen.

In den nächsten Tagen bereitet unser Team eine eingehende Untersuchung des Angriffs vor.

Hier ist, was wir bisher wissen:

Kurz gesagt, der Angriff kapitulierte auf einen „Reentrancy“ -Bug, ähnlich dem, der in The DAO ausgenutzt wurde. Der Angreifer hat einen bösartigen Vertrag erstellt, der als ERC20-Token maskiert wird, bei dem die „Transfer“ -Funktion mehrmals in den Payment Channel-Vertrag zurückgerufen wurde, was jedes Mal eine ETH entleert.

Der böswillige Vertrag rief zuerst CreateChannel auf, um den Kanal einzurichten, dann LcopentiMeout wiederholt über Reentrancy. Der Lcopentimeout ist da, um den Nutzern die Möglichkeit zu geben, Zahlungskanäle, die noch nicht vom Gegenpartei beigetreten sind, schnell zu verlassen.

Der LCopentiMeout überträgt dem Nutzer seinen ursprünglichen ETH-Einzahlungssaldo und sein Token-Einzahlungsguthaben, beide zunächst in der CreateChannel-Funktion gesetzt. Kritisch löscht die Funktion LCopentimeOut nur die On-Chain-Kanaldaten (die Kanalsalden Null ausmachen) nach der Tokenübertragungsfunktion. Auf diese Weise kann die Übertragungsfunktion des böswilligen Vertrags LcopentiMeout in einer Schleife aufrufen, und jedes Mal, wenn der Angreifer ETH entsprechend ihrer Kanalbalance sendet.

Payment Channel-Vertrag:   https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code

Angreifer-Adresse:   https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199

Interne txs (Reentrancy) vom Konto des Angreifers:   https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx

Schadhaften Vertrag des Angreifers:   https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e

Interne txs (Reentrancy) aus dem bösartigen Vertrag des Angreifers:   https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx

Es war unsere Entscheidung, auf eine Sicherheitsprüfung für den Payment Channel-Vertrag zu verzichten. Wir hatten tatsächlich Zeppelin ein Audit durchführen lassen, das $17.000 für die bisherige unidirektionale Zahlungskanäle-Bibliothek kostete. Wir hielten das für ziemlich teuer, da die meisten Gelder, die jemals durch diesen Vertrag gehalten wurden, insgesamt nur $17.000 erreicht haben.

Für diesen weit ausgeklügelteren Vertrag über den nicht verwahrten Zahlungskanal wurden wir 30.000 $ bis 50.000 für Sicherheitsprüfungen zitiert, aber unter Berücksichtigung des Wahrnehmungswerts und der Opportunitätskosten der Zeit, die auf den Hack reagiert hat, hätte es sich gelohnt. Dies liegt an unserem agilen Entwicklungsprozess, der Standort befindet sich in der Beta-Phase, und wie schnell wir die Verträge durchlaufen und neu bereitstellen (von denen wir alle 2-3 Wochen verschieben). Dadurch wurde ein Problem in unserem Entwicklungs- und Bereitstellungsprozess festgestellt, und wir werden die entsprechenden Änderungen vornehmen, um sicherzustellen, dass dies nicht wieder geschieht - während wir immer noch in dem Tempo innovativ sind, mit dem Sie alle vertraut sind.

Wenn wir vorankommen und wachsen, werden wir unsere Sicherheitspraktiken verstärken und sicherstellen, dass wir mehrere interne Audits für jeden von uns veröffentlichten intelligenten Vertragscode sowie mindestens ein professionelles externes Audit erhalten.“