Who let the spank hurt?
事件回顾:
据 coindesk 消息,数字货币项目 SpankChain 称其在周六下午 18:00 (太平洋标准时间)左右遭受了黑客攻击,损失了 165.38 ETH(当时价值约 3.8 万美元),另有价值 4000 美元的 BOOTY 币遭冻结。此次攻击或是通过智能合约漏洞进行。
区块链版 PornHub 智能合约惨遭黑客攻击 4万美元一扫而空
SpankChain 在其官方 medium 平台发文称其被黑(打屁屁)
SpankChain 是一个建立在以太坊上的成人娱乐生态系统,致力于用区块链技术为成人产业打造一个经济和技术基础设施(志向远大,心态耿直,简称区块链版的 PornHub)。基于以太坊的智能合约,能够消除第三方中介及不公平的支付方式,同时提供更强的隐私性和安全性。简而言之,是一个让成人娱乐不怕羞羞,内容提供者不怕被诓的正义感爆棚技术公司。SpankChain 于2017年11月25日上线交易,项目更是邀请到了著名艳星 Kayden Kross 代言,成人们表示:一看就是专业的,市值一度飙升至1亿8千万美元!
区块链版 PornHub 智能合约惨遭黑客攻击 4万美元一扫而空
罪恶的手拍得猝不及防,公告称,直到周日下午 19:00(太平洋标准时间)团队才意识到遭受攻击,随即将 Spank.live 设置为离线状态以防止资金继续流失。与此同时,团队公布了应对措施:
在接下来2-3天(或许更久)里,我们计划将网络恢复正常,同时:
1、重新部署支付渠道的智能合约以防止任何后续的黑客攻击;
2、升级 Spank.live 的支付渠道合约;
3、向此次事件中被盗取 ETH 及 BOOTY 的用户空投等值的 ETH 到其 SpankPay 账户作为补偿;
4、修复我们最初在 BOOTY 升级工作中的错误。
The CAP said: naughty spank
智能合约漏洞分析 :
虽然 SpankChain 是无辜的,但单纯美好的事物为什么没能逃过魔爪?因为调皮。
经过 AnChain.ai 的 CAP 智能合约自动审计平台扫描发现,SpankChain 的 LedgerChannel 智能合约(地址戳这里)不仅存在已知的 Reentrancy 漏洞(导致2016年 DAO 被攻击的大型安全事件), 还存在如下高危漏洞:
● Timestamp Dependency 时间戳依赖性
○该漏洞会导致恶意矿工可以通过修改时间戳来作恶。
● Transaction-OrderingDependency 交易顺序依赖性 (抢跑漏洞)
○该漏洞会导致恶意矿工通过监控区块链上未完成的交易,进而作弊得到其他未完成交易的计算结果,然后用高额gas 从而达到自己优先挖到矿。
区块链版 PornHub 智能合约惨遭黑客攻击 4万美元一扫而空
AnChain.ai CAP 智能合约审计平台产品结果图另外,CAP 引擎测试发现, SpankChain 团队自行开发的智能合约的 EVM 代码覆盖率比较低。 EVM 代码覆盖率这个指标,定量的刻画了代码被测试用例覆盖的百分比。 一般来说, 在同等情况下,该指标越高越好。若代码覆盖率 100% 说明所有的代码执行分支都被测试用例覆盖。
三个 SpankChain 自行开发的 solidity 类的代码覆盖率,严重低于专业业界标准:
● ECTools 19.7%
● HumanStandardToken 56.3%
● LedgerChannel 41.7%
对比他们合约内部调用的 StandardToken 库的接近 100% 的代码覆盖率。 StandardToken 由美国著名智能合约开发团队 OpenZeppelin 开源。
● StandardToken 99.9%
值得一提的是, CAP 产品运行在容器云平台,实测 SpankChain 耗时仅需49秒钟,被多引擎全自动扫描所有常见的数十种智能合约漏洞。
AnChain.ai 旨在使用 CAP 全自动平台产品, 为广大智能合约开发者提供免费、快捷的漏洞扫描负责。
不管是成人视频 DApp 项目 SpankChain,还是资金盘 DApp Fomo3D,抑或是去中心化交易所 IDEX ,我们希望 CAP 能为区块链上的智能合约资产保驾护航。
下期剧透:谁动了Spank Chain 的巨款?
AnChain.ai 的 SAP 态势感知平台
通过对 SpankChain 智能合约交易数据的分析
已定位到该黑客利用 Re-entrancy 漏洞的作案手段
究竟这个邪恶黑客的钱包和矿池有什么联系?
请听下回分解
随着比特币、以太坊等加密货币成为热门投资领域,越来越多企业和资本相继涌入区块链行业,黑客军团也嗅到了新的发财商机,区块链安全形式越发严峻。
AnChain.ai 开发并提供两款核心产品的服务:智能合约审计平台(CAP, ContractAudit Platform)——提供智能合约和 Dapp 的代码在 Docker 容器云端的自动审计及专家审计,以及态势感知平台(SAP, Situational Awareness Platform)——为 ETH、ERC20、BTC 等加密货币资产提供基于 AI 分析的风险威胁情报、知识图谱,为区块链的交易安全护航。
在此,AnChain.ai 提醒广大项目方、交易所及相关区块链从业者「安全问题无小事」,要做到早监测早发现早解决。有需要智能合约审计、漏洞监测等相关服务的用户可以通过联系邮箱*info@AnChain.ai *获得免费试用。
网友评论