Blockchain

Violação de segurança termina bem para SpankChain

O hacker que roubou 165 ETH ($32.000) do SpankChain concordou em devolver seus ganhos ilícitos. O Ethereum plataforma de entretenimento adulto baseada confirmou isso em uma série de tweets hoje.

https://twitter.com/SpankChain/status/1050533900001243136

Aqui, na íntegra, é o seu Médio post sobre a violação de segurança: “Às 18h PST sábado, um atacante desconhecido drenou 165.38 ETH (~ $38.000) do nosso contrato inteligente canal de pagamento, que também resultou em $4.000 no valor de BOOT no contrato ficando imobilizado. Do ETH/BOOT roubado/imobilizado, 34.99 ETH (~ $8.000) e 1271.88 BOOT pertencem aos usuários (~ $9.300 total), e o resto pertencia ao SpankChain.

Infelizmente, como estávamos no meio da investigação de outros bugs de contrato inteligente, não percebemos que o hack tinha ocorrido até 7:00 pm PST domingo, momento em que colocamos Spank.Live off-line para evitar que quaisquer fundos adicionais sejam depositados no contrato inteligente canais de pagamento.

Nossa prioridade imediata foi fornecer reembolsos completos a todos os usuários que perderam fundos. Estamos preparando um airdrop ETH para cobrir todos os US $9.300 de ETH e BOOTY que pertenciam aos usuários. Os fundos serão enviados diretamente para as contas SpankPay dos usuários e estarão disponíveis assim que reiniciarmos o Spank.Live.

Nosso plano é manter o camsite para baixo durante os próximos 2-3 dias (mas possivelmente mais) enquanto nós:

  1. Reimplante o contrato inteligente de canal de pagamento com um patch para evitar futuras hacks
  2. Atualize o Spank.Live para usar o novo contrato de canal de pagamento
  3. Airdrop ETH equivalente a 100% do ETH+BOOT perdido por cada usuário para suas contas SpankPay
  4. Corrigir os bugs que estávamos originalmente trabalhando em torno da atualização BOOTE

Quando reiniciarmos o Spank.Live, todos os espectadores e artistas terão 100% do valor total em BOOT+ETH que tinham em seu SpankPay airdropped para seus endereços SpankPay atuais, para que os usuários não precisem fazer nada.

O site continuará a funcionar exatamente como era antes, com uma única exceção - por causa do 4.000 BOOT atualmente imobilizado, vamos reduzir temporariamente o limite de BOOT para cada espectador para 10 BOOT. Isto significa que os espectadores só serão capazes de dar gorjeta 10 BOOT de cada vez, e ao gastar todos os 10 BOOTES eles vão recarregar automaticamente o seu 10 BOOT com qualquer ETH extra que tenham depositado, até que esgotem completamente o seu saldo ETH.

Nos próximos dias, a nossa equipa está a preparar uma investigação aprofundada do ataque.

Aqui está o que sabemos até agora:

Em suma, o ataque capitalizou um bug de “reentrada”, muito parecido com o explorado no DAO. O invasor criou um contrato malicioso mascarado como um token ERC20, onde a função de “transferência” foi chamada de volta ao contrato de canal de pagamento várias vezes, drenando algum ETH de cada vez.

O contrato malicioso primeiro chamou CreateChannel para configurar o canal e, em seguida, chamou LCopEntimeout repetidamente via reentrada. O LcopenTimeout existe para permitir que os usuários saiam rapidamente dos canais de pagamento que ainda não foram aderidos pela contraparte.

O LCopenTimeout transfere ao usuário seu saldo inicial de depósito ETH e seu saldo de depósito token, ambos inicialmente definidos na função CreateChannel. Criticamente, a função LcopenTimeout exclui apenas os dados do canal na cadeia (que zeram os balanços de canal) após a função de transferência de token. Isso permite que a função de transferência do contrato malicioso chame LcopenTimeout em um loop, sempre enviando o atacante ETH equivalente ao saldo de seu canal.

Contrato do canal de pagamento:   https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code

Endereço do invasor:   https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199

Txs internos (reentrada) da conta do invasor:   https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx

Contrato malicioso do atacante:   https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e

Txs internos (reentrada) do contrato malicioso do atacante:   https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx

Foi nossa decisão renunciar a uma auditoria de segurança para o contrato do canal de pagamento. Nós realmente fizemos Zeppelin realizar uma auditoria que custou US $17 mil para a biblioteca de canais de pagamento unidirecionais anterior. Consideramos isso bastante caro, dado que o maior número de fundos já detido por esse contrato só chegou a US $17 mil no total.

Para este contrato de canal de pagamento sem custódia muito mais sofisticado, fomos citados US $30.000 a US $50.000 para auditorias de segurança, mas levando em conta tanto o valor de percepção quanto o custo de oportunidade do tempo gasto em reagir ao hack, teria valido a pena. Isso é devido ao nosso processo de desenvolvimento ágil, o site estar em beta e a rapidez com que estamos iterando e reimplantando os contratos (dos quais estamos empurrando a cada 2-3 semanas). Isso identificou um problema em nosso processo de desenvolvimento e implantação, e faremos as alterações apropriadas para ajudar a garantir que isso não aconteça novamente - enquanto ainda inovamos no ritmo com que todos estão familiarizados.

À medida que avançamos e crescemos, estaremos intensificando nossas práticas de segurança e nos certificando de obter várias auditorias internas para qualquer código de contrato inteligente que publicarmos, bem como pelo menos uma auditoria externa profissional.”

Scott Thompson

Scott has been working in technology and business journalism for nearly 20 years, with a focus on FinTech, retail, payments and disruptive technology. He has been Editor of such titles as FStech, Retail Systems and IBS Journal and also contributed to the likes of Retail Technology Innovation Hub, PaymentEye, bobsguide, Essential Retail, Open Banking Hub, TechHQ and Internet of Business.

Disqus Comments Loading...

Recent Posts

Here is why Bitcoin is still a lucrative investment in 2024

Those who enter the market at this time may be surprised to hear that Bitcoin…

1 month ago

Zircuit Launches ZRC Token: Pioneering the Next Era of Decentralized Finance

George Town, Grand Cayman, 22nd November 2024, Chainwire

1 month ago

The surge of Bitcoin NFTs: Everything you should know about Bitcoin ordinals

From digital art to real-estate assets, NFTs have become a significant attraction for investors who…

2 months ago

MEXC Partners with Aptos to Launch Events Featuring a 1.5 Million USDT Prize Pool

Singapore, Singapore, 21st October 2024, Chainwire

2 months ago