发动攻击的黑客与被攻击的网站之间的关系一般来说都是水火不容的,而这次事故里,黑客发起攻击后窃取 3.2 万美金的加密货币后却全数归还,网站方也给予 5000 美元作为奖励,连发起攻击的成本也得到了补偿……
10 月 6 日,基于以太坊的成人娱乐平台 SpankChain 遭受黑客攻击,匿名攻击者利用该平台支付渠道智能合约漏洞窃取 165.38 枚 ETH,价值约 38000 美元。同时该漏洞导致了价值 4000 美元SpankChain的内部代币BOOTY无法流通。
在事发第二天该平台才意识到这次匿名攻击,立即对外发布公告宣布这次事故,表示将重新部署支付渠道的智能合约以防再次受到攻击,同时积极补偿遭受损失的用户。
根据 SpankChain 的调查,黑客利用了一个可重入性漏洞创建伪装成 ERC20 令牌的恶意合同,通过转移功能多次回调到支付渠道合同中,每次都提取一些 ETH 。以下是攻击者的一些信息:
付款渠道合同:https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code
攻击者地址:https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199
来自攻击者帐户的内部 tx(重入):https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx
攻击者的恶意合同:https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e
来自攻击者恶意合同的内部tx(重入):https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx
而在 10 月 11 日,事情发生了大反转。SpankChain 在Twitter上表示,通过电话与窃取 ETH 的黑客沟通之后,黑客已经全部归还窃取的 ETH。而 SpankChain 则以 5000 美元作为奖励回报这位匿名黑客,并且给予 5.5 ETH 用来补偿黑客发动攻击的成本。(呃……匿名黑客这么容易就被找到了么……)
恭喜你,匿名黑客!
——SpankChain
自从加密货币、区块链火了之后,大大小小的黑客攻击事件层出不穷。智能合约理论上是很难被入侵的,但目前仍然是一种年轻的技术,很容易出现漏洞被攻击者利用。像本次事件中,黑客主动归还被盗的加密货币也是非常少见(成人网站的黑客素质这么高的嘛),一次黑客恶意攻击反转变成类似白帽漏洞赏金案例,不知道这位“好心的”黑客会不会继续被追究责任。
*参考来源:Cointelegraph,本文作者Andy.i,转载请注明来自FreeBuf.COM