區塊鏈版 PornHub 智慧合約遭黑客攻擊 4萬美元一掃而空
Who let the spank hurt?
事件回顧:
據 coindesk 訊息,數字貨幣專案 SpankChain 稱其在週六下午 18:00 (太平洋標準時間)左右遭受了黑客攻擊,損失了 165.38 ETH(當時價值約 3.8 萬美元),另有價值 4000 美元的 BOOTY 幣遭凍結。此次攻擊或是通過智慧合約漏洞進行。
SpankChain 在其官方 medium 平臺發文稱其被黑(打屁屁)
SpankChain 是一個建立在以太坊上的成人娛樂生態系統,致力於用區塊鏈技術為成人產業打造一個經濟和技術基礎設施(志向遠大,心態耿直,簡稱區塊鏈版的 PornHub)。基於以太坊的智慧合約,能夠消除第三方中介及不公平的支付方式,同時提供更強的隱私性和安全性。簡而言之,是一個讓成人娛樂不怕羞羞,內容提供者不怕被誆的正義感爆棚技術公司。SpankChain 於2017年11月25日上線交易,專案更是邀請到了著名豔星 Kayden Kross 代言,成人們表示:一看就是專業的,市值一度飆升至1億8千萬美元!
SpankChain 代言人:著名豔星 Kayden Kross
罪惡的手拍得猝不及防,公告稱,直到週日下午 19:00(太平洋標準時間)團隊才意識到遭受攻擊,隨即將 Spank.live 設定為離線狀態以防止資金繼續流失。與此同時,團隊公佈了應對措施:
在接下來2-3天(或許更久)裡,我們計劃將網路恢復正常,同時:
1、重新部署支付渠道的智慧合約以防止任何後續的黑客攻擊;
2、升級 Spank.live 的支付渠道合約;
3、向此次事件中被盜取 ETH 及 BOOTY 的使用者空投等值的 ETH 到其 SpankPay 賬戶作為補償;
4、修復我們最初在 BOOTY 升級工作中的錯誤。
The CAP said: naughty spank
智慧合約漏洞分析 :
雖然 SpankChain 是無辜的,但單純美好的事物為什麼沒能逃過魔爪?因為調皮。
經過 AnChain.ai 的 CAP 智慧合約自動審計平臺掃描發現,SpankChain 的 LedgerChannel 智慧合約(地址: https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code)不僅存在已知的 Reentrancy 漏洞(導致2016年 DAO 被攻擊的大型安全事件), 還存在如下高危漏洞:
● Timestamp Dependency 時間戳依賴性
○該漏洞會導致惡意礦工可以通過修改時間戳來作惡。
○https://www.dasp.co/#item-8
● Transaction-OrderingDependency 交易順序依賴性 (搶跑漏洞)
○該漏洞會導致惡意礦工通過監控區塊鏈上未完成的交易,進而作弊得到其他未完成交易的計算結果,然後用高額gas 從而達到自己優先挖到礦。
○https://www.dasp.co/#item-7
AnChain.ai CAP 智慧合約審計平臺產品結果圖
另外,CAP 引擎測試發現, SpankChain 團隊自行開發的智慧合約的 EVM 程式碼覆蓋率比較低。 EVM 程式碼覆蓋率這個指標,定量的刻畫了程式碼被測試用例覆蓋的百分比。 一般來說, 在同等情況下,該指標越高越好。若程式碼覆蓋率 100% 說明所有的程式碼執行分支都被測試用例覆蓋。
三個 SpankChain 自行開發的 solidity 類的程式碼覆蓋率,嚴重低於專業業界標準:
● ECTools 19.7%
● HumanStandardToken 56.3%
● LedgerChannel 41.7%
對比他們合約內部呼叫的 StandardToken 庫的接近 100% 的程式碼覆蓋率。 StandardToken 由美國著名智慧合約開發團隊 OpenZeppelin 開源。
● StandardToken 99.9%
值得一提的是, CAP 產品執行在容器雲平臺,實測 SpankChain 耗時僅需49秒鐘,被多引擎全自動掃描所有常見的數十種智慧合約漏洞。
AnChain.ai 旨在使用 CAP 全自動平臺產品, 為廣大智慧合約開發者提供免費、快捷的漏洞掃描負責。
不管是成人視訊 DApp 專案 SpankChain,還是資金盤 DApp Fomo3D,抑或是去中心化交易所 IDEX ,我們希望 CAP 能為區塊鏈上的智慧合約資產保駕護航。
下期劇透:誰動了SpankChain的鉅款?
AnChain.ai 的 SAP 態勢感知平臺
通過對 SpankChain 智慧合約交易資料的分析
已定位到該黑客利用 Re-entrancy 漏洞的作案手段
究竟這個邪惡黑客的錢包和礦池有什麼聯絡?
請聽下回分解…
隨著比特幣、以太坊等加密貨幣成為熱門投資領域,越來越多企業和資本相繼湧入區塊鏈行業,黑客軍團也嗅到了新的發財商機,區塊鏈安全形式越發嚴峻。
AnChain.ai 開發並提供兩款核心產品的服務:智慧合約審計平臺(CAP, ContractAudit Platform)——提供智慧合約和 Dapp 的程式碼在 Docker 容器雲端的自動審計及專家審計,以及態勢感知平臺(SAP, Situational Awareness Platform)——為 ETH、ERC20、BTC 等加密貨幣資產提供基於 AI 分析的風險威脅情報、知識圖譜,為區塊鏈的交易安全護航。