Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте



  • Ориентированный на индустрию развлечений для взрослых криптовалютный проект SpankChain был взломан, в результате чего у него было украдено почти 40 тысяч долларов в Ethereum.

    Команда SpankChain рассказала о взломе во вторник в своём блоге – по их словам, в воскресенье в 18:00 по Тихоокеанскому стандартному времени (в понедельник в 04:00 утра по московскому времени) у них было украдено 165,38 ETH (около 38 тысяч долларов). Взлом стал возможен из-за бага в смарт-контракте платёжных каналов; из-за него также оказались заморожены выпущенные SpankChain токены BOOTY на 4 000 долларов.

    Согласно посту в блоге, команде проекта потребовалось более 24 часов, чтобы понять, что они были взломаны: «К сожалению, мы вплотную занимались другими багами смарт-контрактов и осознали, что нас взломали, лишь в воскресенье в 19:00 по Тихоокеанскому стандартному времени. В этот момент мы вывели Spank.Live в оффлайн, чтобы не допустить попаданияновых средств в смарт-контракт, отвечающий за платёжные каналы».

    9 300 долларов из украденных средств принадлежали пользователям, а всё остальное – проекту. Согласно посту в блоге, компенсации будут отправлены напрямую на счета пользователей SpankPay и станут доступны сразу после перезагрузки Spank.Live.

    Кроме того, SpankChain предупредила пользователей о 2-3-дневной задержке – за это время разработчики надеются залатать брешь, из-за которой стал возможен этот взлом, внедрить новый смарт-контракт и решить другие проблемы, связанные со смарт-контрактами, над которыми они уже работали. Также было введено временное ограничение на использование токенов BOOTY.

    На данный момент команда проекта считает, что хакерская атака стала возможна из-за уязвимости типа «reentrancy» (т.е. «рекурсивный вызов») – аналогичной той, что позволила взломать крипто-проект The DAO в 2016 году.

    «Атакующий создал вредоносный контракт, маскирующийся под ERC20-токен. В нём функция трансфера несколько раз вызывалась обратно в смарт-контракт платёжных каналов, с каждым разом выуживая некоторое количество ETH», – написала команда SpankChain и добавила, что в ближайшие дни проведет «углубленное расследование этой атаки».

    SpankChain также призналась, что решила не проводить аудит системы безопасности смарт-контракта платёжных каналов, т.к. он стоил слишком дорого, «но, в виду потерянных средств и учитывая время, потраченное на работу с последствиями взлома, этот аудит провести все же стоило», – написала команда проекта.

    Свой блог-пост SpankChain завершил обещанием улучшить систему безопасности, «проведя несколько внутренних аудитов для всех публикуемых смарт-контрактов, а также как минимум один профессиональный внешний аудит».



  • аудит системы безопасности смарт-контракта платёжных каналов стоил слишком дорого, но в итоге им все обошлось еще дороже. странно, что разрабы не понимают элементарных вещей.



  • @ivan-ivanov Такие вещи начинают понимать именно после подобных взломов - как по крайней мере показывает практика.



  • @andrei1990bit можно ведь учиться на опыте других проектов, которые уже попадали в такую ситуацию. зачем же на себе проверять?



  • Ну этих товарищей еще как то на мелкую сумму почистили. Так что нечего особо страшного не случилось.



  • @casio Ну работать то над багами теперь то всё равно придется как ни крути. Что сумма маленькая - это да им повезло)



  • Ну теперь да все под лупой просмотрят... а то все деньги могут в ***ду уйти, говоря их формулировкой.



  • @casio может для них и эта сумма существенная, так как проект относительно небольшой. зажали же деньги за аудит.



  • Участник @ivan-ivanov написал в Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте:

    @casio может для них и эта сумма существенная, так как проект относительно небольшой. зажали же деньги за аудит.

    Ну это им судьба дала знак, что не стоит на это свои деньги тратить. Все равно толку не будет.



  • @casio если бы не зажали деньги, то толк был бы. потратили бы 5к баксов, но не потеряли бы 40к.



  • @ivan-ivanov Я думаю за такую сумму разрабы бы и не стали бы искать и не нашли бы этот баг) И в итоге результат был бы такой же + потеря 5 кусков баксов)



  • @andrei1990bit может там есть своего рода страховка от фирмы, что мол все проверили и если будет какая-от дырка, то мы компенсируем потери.



  • Участник @ivan-ivanov написал в Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте:

    @andrei1990bit может там есть своего рода страховка от фирмы, что мол все проверили и если будет какая-от дырка, то мы компенсируем потери.

    Какая страховка. Не одна аудит фирма страховку не дает на свою деятельность. Есть конечно для вида, но там суммы мелкие и фиксированные.



  • @casio должны быть какие-то гарантии, иначе какой вообще смысл проводить такую проверку? если проводят аудит, значит хотят быть уверены, что нет явных дыр.



  • Участник @ivan-ivanov написал в Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте:

    @casio должны быть какие-то гарантии, иначе какой вообще смысл проводить такую проверку? если проводят аудит, значит хотят быть уверены, что нет явных дыр.

    Ну они проверят, может какие баги найдут. А гарантию тут на все сто процентов неможет некто дать. Может завтра в коде еще более четкий глаз что-то найдет.



  • @ivan-ivanov А вот смотри если такая ситуация - у тебя есть деньги и ты покупаешь готовый продукт у разрабов со стороны - с одной стороны очень удобно и быстро, но с другой они на тебя не работают. И после бага что ты будешь делать?



  • Участник @andrei1990bit написал в Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте:

    @ivan-ivanov А вот смотри если такая ситуация - у тебя есть деньги и ты покупаешь готовый продукт у разрабов со стороны - с одной стороны очень удобно и быстро, но с другой они на тебя не работают. И после бага что ты будешь делать?

    Ну обычно такой момент в договоре прописывают. Но тут сумма как правило не больше суммы покупки софта. Т.е если купил софт за 1000 баксов, то ответственность и будет на 1000.



  • @andrei1990bit как уже замечено, этот момент прописывается в договоре. хотя зачастую разрабы могут спихнуть проблему на то, что заказчик сам виноват в утечке данных или средств.



  • @casio А тут думаю еще и доказать подобную беду надо. Даже если через суд - сколько это времени займет, да и куда обращаться по сути.



  • Участник @andrei1990bit написал в Адалт-проект SpankChain потерял 40 тысяч долларов из-за бага в смарт-контракте:

    @casio А тут думаю еще и доказать подобную беду надо. Даже если через суд - сколько это времени займет, да и куда обращаться по сути.

    Да тут еще и фрилансеры скорей всего работают. А они вообще договора не заключают , так что если что бригада просто в тень уйдет и все.


 

Форум Crypto.Pro в социальных сетях: ВКонтакте | Facebook | Instagram | Twitter | Telegram