投递人 itwriter 发布于 2018-10-15 17:56 原文链接 [收藏] « »

  10 月 6 日,基于以太坊的成人娱乐平台 SpankChain 遭受黑客攻击,匿名攻击者利用该平台支付渠道智能合约漏洞窃取 165.38 枚 ETH,价值约 38000 美元。同时该漏洞导致了价值 4000 美元 SpankChain 的内部代币 BOOTY 无法流通。

1_y_WmxqNdZjsWJPmDHUaguQ.png

  在事发第二天该平台才意识到这次匿名攻击,立即对外发布公告宣布这次事故,表示将重新部署支付渠道的智能合约以防再次受到攻击,同时积极补偿遭受损失的用户。

  根据 SpankChain 的调查,黑客利用了一个可重入性漏洞创建伪装成 ERC20 令牌的恶意合同,通过转移功能多次回调到支付渠道合同中,每次都提取一些 ETH 。以下是攻击者的一些信息:

付款渠道合同:https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code

攻击者地址:https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199

来自攻击者帐户的内部 tx(重入):https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx

攻击者的恶意合同:https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e

来自攻击者恶意合同的内部 tx(重入):https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx

TIM 截图 20181015153350.png

  而在 10 月 11 日,事情发生了大反转。SpankChain 在 Twitter 上表示,通过电话与窃取 ETH 的黑客沟通之后,黑客已经全部归还窃取的 ETH。而 SpankChain 则以 5000 美元作为奖励回报这位匿名黑客,并且给予 5.5 ETH 用来补偿黑客发动攻击的成本。(呃……匿名黑客这么容易就被找到了么……)

恭喜你,匿名黑客!

——SpankChain

  自从加密货币、区块链火了之后,大大小小的黑客攻击事件层出不穷。智能合约理论上是很难被入侵的,但目前仍然是一种年轻的技术,很容易出现漏洞被攻击者利用。像本次事件中,黑客主动归还被盗的加密货币也是非常少见(成人网站的黑客素质这么高的嘛),一次黑客恶意攻击反转变成类似白帽漏洞赏金案例,不知道这位“好心的”黑客会不会继续被追究责任。

  参考来源:Cointelegraph,本文作者 Andy.i,转载请注明来自 FreeBuf.COM

 
来自: www.freebuf.com
找优秀程序员,就在博客园 收藏 新浪微博 分享至微信
标签: 黑客

24小时阅读排行

    最新新闻

      相关新闻