SpankChain pierde 38 mil dólares en ETH por error en su contrato inteligente

Fuente: CRIPTONOTICIAS

Un error en el código del contrato inteligente de SpankChain, aplicación descentralizada basada en la blockchain de Ethereum, ocasionó el robo de 165,38 ETH, equivalentes a unos 38.000 dólares para el momento del suceso. Además, a causa de este desperfecto fueron congelados unos 4.000 dólares en la moneda BOOTY, con la que funcionan las propinas de la Dapp.

Un atacante desconocido habría aprovechado un error del contrato inteligente del canal de pago de SpankChain para robar los fondos. Según explica el comunicado oficial publicado por SpankChain, el suceso ocurrió el día sábado 06 de octubre, sin embargo, solo cayeron en cuenta del ataque el domingo 07.

No obstante, de acuerdo con la empresa, solo 34.99 ETH (cerca de 8.000 dólares) y 1271.88 BOOTY (unos 9.300 dolares) pertenecen a usuarios. Esto equivale a un poco más de 17.000 dólares; el resto de ETH y BOOTY perdido pertenece a la propia SpankChain. Tras darse cuenta del ataque, suspendieron el servicio de Spank.Live para evitar depósitos adicionales en el contrato anómalo, y mantendrán la suspensión del servicio por unos días.

El hacker realizó un ataque de reentrada (reentrancy), creando un contrato malicioso “disfrazado” como un token ERC20. En él, la función de “transferencia” vuelve a llamar al contrato de canal de pago varias veces, sacando ETH del contrato de estos canales de pago en cada nueva llamada, de manera que el depósito del supuesto token, puede generar una brecha para sustraer los fondos a una dirección determinada por el atacante. Este bug es similar al que sufrió el proyecto de Organización Autónoma Descentralizada (DAO) hackeado, que desencadenó la primera gran bifurcación de Ethereum.

Puede leer el articulo completo en CRIPTONOTICIAS