Usuarios y desarrolladores sufrieron las consecuencias del robo.
SpankChain, contrato inteligente de criptomoneda enfocada
en la industria del entretenimiento para adultos, sufrió un robo de
Ethereum por hasta 38 mil dólares debido a un error en su contrato
inteligente, reportan especialistas en forense digital del Instituto
Internacional de Seguridad Cibernética.
SpankChain es un contacto inteligente basado en Ethereum que utiliza
Ethereum y un token inteligente llamado BOOTY para dar propinas a
modelos para adultos durante sus shows en vivo. Según el anuncio
publicado por los desarrolladores de SpankChain, el ataque ocurrió
alrededor de las 6 de la tarde del sábado pasado; el atacante habría
robado 165.38 unidades de Ethereum e inmovilizado más de mil 200 tokens
BOOTY debido a un error en su contrato de pago inteligente.
“A las 6 de la tarde del sábado, un atacante desconocido agotó 165.38
Ethereum (cerca de 38 mil dólares) de nuestro contrato inteligente del
canal de pago, lo que ocasionó que 4 mil dólares en tokens
BOOTY quedaran inmovilizados”, reporta el anuncio del equipo de forense
digital de SpankChain. “De las unidades de Ethereum y tokens BOOTY
robadas/inmovilizadas, 34.99 Ethereum (cerca de 8 mil dólares) y
1271.88 BOOTY (unos 9 mil 300 dólares en total), pertenecen a los
usuarios, el resto pertenece a SpankChain”.
Este ataque no fue evidente sino hasta el domingo a las 7 de la
noche, lo que provocó que desconectaran su servicio de
cámara Spank.live. SpankChain planea reemplazar los 9 mil 300 dólares en
Ethereum que fueron robados a sus usuarios. Asimismo, planean mantener
su servicio de cámara web fuera de línea mientras corrigen errores y
actualizan a un nuevo contrato de canal de pago.
El ataque fue posible gracias a una falla de reentrada
Según el anuncio del equipo de forense digital de SpankChain, en el ataque se utilizó una vulnerabilidad de reentrada para robar la criptomoneda del sitio comprometido.
Un ataque de reentrada se presenta cuando un atacante es capaz de
llamar repetidamente a una función en el contrato inteligente antes de
que las funciones anteriores terminen de ejecutarse. Esto permite a los
atacantes retirar repetidamente la criptomoneda antes de que el contrato
se dé cuenta de que no queda saldo.
“En resumen, el ataque capitalizó un error de reentrada, muy parecido
al usado en el ataque a The DAO”, mencionan los operadores
de SpankChain. “El atacante creó un contrato malicioso enmascarado como
un token ERC20, donde la función de “transferencia” fue ejecutada
múltiples veces para extraer la criptomoneda del sitio”.
Reportes indican que SpankChain habría optado por no hacer una
auditoría de seguridad en el pasado, ya que esta se cotizaba entre 30
mil y 50 mil dólares, pues consideraban que el precio era demasiado
alto. Esta es una prueba más de que no hay precio demasiado alto para
garantizar la seguridad de un sitio en comparación al precio que hay que
pagar después de un ciberataque.
Fuente: http://noticiasseguridad.com/
0 Comentarios