Hacker roba más de 30 mil dólares en criptomoneda de SpankChain

Usuarios y desarrolladores sufrieron las consecuencias del robo

SpankChain, contrato inteligente de criptomoneda enfocada en la industria del entretenimiento para adultos, sufrió un robo de Ethereum por hasta 38 mil dólares debido a un error en su contrato inteligente, reportan especialistas en forense digital del Instituto Internacional de Seguridad Cibernética.

SpankChain es un contacto inteligente basado en Ethereum que utiliza Ethereum y un token inteligente llamado BOOTY para dar propinas a modelos para adultos durante sus shows en vivo. Según el anuncio publicado por los desarrolladores de SpankChain, el ataque ocurrió alrededor de las 6 de la tarde del sábado pasado; el atacante habría robado 165.38 unidades de Ethereum e inmovilizado más de mil 200 tokens BOOTY debido a un error en su contrato de pago inteligente.

“A las 6 de la tarde del sábado, un atacante desconocido agotó 165.38 Ethereum (cerca de 38 mil dólares) de nuestro contrato inteligente del canal de pago, lo que ocasionó que 4 mil dólares en tokens BOOTY quedaran inmovilizados”, reporta el anuncio del equipo de forense digital de SpankChain. “De las unidades de Ethereum y tokens BOOTY robadas/inmovilizadas, 34.99 Ethereum (cerca de 8 mil dólares) y 1271.88 BOOTY (unos 9 mil 300 dólares en total), pertenecen a los usuarios, el resto pertenece a SpankChain”.

Este ataque no fue evidente sino hasta el domingo a las 7 de la noche, lo que provocó que desconectaran su servicio de cámara Spank.live. SpankChain planea reemplazar los 9 mil 300 dólares en Ethereum que fueron robados a sus usuarios. Asimismo, planean mantener su servicio de cámara web fuera de línea mientras corrigen errores y actualizan a un nuevo contrato de canal de pago.

El ataque fue posible gracias a una falla de reentrada

Según el anuncio del equipo de forense digital de SpankChain, en el ataque se utilizó una vulnerabilidad de reentrada para robar la criptomoneda del sitio comprometido.

Un ataque de reentrada se presenta cuando un atacante es capaz de llamar repetidamente a una función en el contrato inteligente antes de que las funciones anteriores terminen de ejecutarse. Esto permite a los atacantes retirar repetidamente la criptomoneda antes de que el contrato se dé cuenta de que no queda saldo.

“En resumen, el ataque capitalizó un error de reentrada, muy parecido al usado en el ataque a The DAO”, mencionan los operadores de SpankChain. “El atacante creó un contrato malicioso enmascarado como un token ERC20, donde la función de “transferencia” fue ejecutada múltiples veces para extraer la criptomoneda del sitio”.

Reportes indican que SpankChain habría optado por no hacer una auditoría de seguridad en el pasado, ya que esta se cotizaba entre 30 mil y 50 mil dólares, pues consideraban que el precio era demasiado alto. Esta es una prueba más de que no hay precio demasiado alto para garantizar la seguridad de un sitio en comparación al precio que hay que pagar después de un ciberataque.