News

SpankChain: persi $40k a causa di un bug nello Smart Contract

SpankChain è un progetto basato sul network di Ethereum focalizzato sull’industria a luci rosse. Nelle ultime ore è emerso un gravissimo bug che ha comportato il furto di ben $40’000 in ETH. In un lungo post ufficiale il team ha parlato dell’hack dichiarando che circa 165.38 ETH (con un controvalore pari a  $38,000 al momento del furto) sono andati persi alle 18:00 PST di Sabato.

L’intrusione è stata possibile a causa di un bug nello smart contract. Sono stati bloccati (congelati) anche $4’000 in token (BOOTY).

Sono servite ben 24h al team per accorgersi del furto, di seguito riporto un estratto delle loro parole:

Sfortunatamente, mentre stavamo indagando su altri bug, non ci siamo accorti dell’hack fino alle 19:00 PST di domenica. In quel momento abbiamo portato Spank Live offline per evitare il furto di altri fondi.

“We got Spanked”

spankchain bug smart contract

Bigbit

Entrando un po’ più nei dettagli è emerso che l’hack era dovuto a un reentrancy bug, simile a quello del progetto DAO (che ha subito un attacco analogo nel 2016). Con reentrant si fa riferimento ad una funzione che può essere interrotta durante l’esecuzione e poi chiamata di nuovo prima del termine della precedente esecuzione. I cybercriminali hanno creato uno smart contract fasullo mascherato come un token ERC20 che chiamava ripetutamente la funzione ‘transfer’ drenando continuamente un po’ di ETH dal payment channel. I malintenzionati hanno chiamato prima la funzione createChannel per stabilire il canale e in seguito la LCOpenTimeout in modo ripetuto (loop) sfruttando la reentrancy, dando il via alla fuoriuscita dei fondi. I cibercryminali di fatto hanno inviato i fondi al loro account per poi spostarli chissà dove. Gli sviluppatori si sono presi 2-3 giorni per sistemare il problema, ricontrollare lo smart contract e sistemare altre problematiche su cui erano già al lavoro.

Dei fondi rubati $9,300 appartenevano agli utenti mentre la rimanente parte appartenevano agli sviluppatori. Gli utenti saranno rimborsati completamente e riceveranno i token direttamente sul loro account non appena il tutto tornerà online, come se niente fosse successo.

SpankChain ha inoltre ammesso di aver deciso di non pagare un team per un controllo del codice in quanto troppo costoso anche se, col senno di poi, ne sarebbe valsa la pena. Il team si è poi impegnato a migliorare le sue pratiche di sicurezza, ponendo più attenzione all’interno e richiedendo anche controlli da parte di esperti al di fuori del team di sviluppo.

cripto

Vi invitiamo a seguirci sul nostro canale Telegram ed anche sul gruppo ufficiale Telegram, dove sarà possibile discutere insieme delle notizie e dell’andamento del mercato, sulla nostra pagina Facebook e sul nostro account Twitter.


La più grande community italiana dedicata alle criptovalute: Italian Crypto Club (ICC)

Matteo Gatti

Ingegnere informatico appassionato di tecnologia e di tutto ciò che vi ruota attorno. Seguo con interesse il mondo delle criptovalute e lo sviluppo della tecnologia Blockchain. Scrivo anche di Linux su LFFL.
Follow Me:

Related Posts

Rispondi