發動攻擊的黑客與被攻擊的網站之間的關系一般來說都是水火不容的,而這次事故里,黑客發起攻擊后竊取 3.2 萬美金的加密貨幣后卻全數歸還,網站方也給予 5000 美元作為獎勵,連發起攻擊的成本也得到了補償……
10 月 6 日,基于以太坊的成人娛樂平臺 SpankChain 遭受黑客攻擊,匿名攻擊者利用該平臺支付渠道智能合約漏洞竊取 165.38 枚 ETH,價值約 38000 美元。同時該漏洞導致了價值 4000 美元SpankChain的內部代幣BOOTY無法流通。
在事發第二天該平臺才意識到這次匿名攻擊,立即對外發布公告宣布這次事故,表示將重新部署支付渠道的智能合約以防再次受到攻擊,同時積極補償遭受損失的用戶。
根據 SpankChain 的調查,黑客利用了一個可重入性漏洞創建偽裝成 ERC20 令牌的惡意合同,通過轉移功能多次回調到支付渠道合同中,每次都提取一些 ETH 。以下是攻擊者的一些信息:
付款渠道合同:https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code
攻擊者地址:https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199
來自攻擊者帳戶的內部 tx(重入):https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx
攻擊者的惡意合同:https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e
來自攻擊者惡意合同的內部tx(重入):https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx
而在 10 月 11 日,事情發生了大反轉。SpankChain 在Twitter上表示,通過電話與竊取 ETH 的黑客溝通之后,黑客已經全部歸還竊取的 ETH。而 SpankChain 則以 5000 美元作為獎勵回報這位匿名黑客,并且給予 5.5 ETH 用來補償黑客發動攻擊的成本。(呃……匿名黑客這么容易就被找到了么……)
恭喜你,匿名黑客!
——SpankChain
自從加密貨幣、區塊鏈火了之后,大大小小的黑客攻擊事件層出不窮。智能合約理論上是很難被入侵的,但目前仍然是一種年輕的技術,很容易出現漏洞被攻擊者利用。像本次事件中,黑客主動歸還被盜的加密貨幣也是非常少見(成人網站的黑客素質這么高的嘛),一次黑客惡意攻擊反轉變成類似白帽漏洞賞金案例,不知道這位“好心的”黑客會不會繼續被追究責任。
| 
