發(fā)動攻擊的黑客與被攻擊的網(wǎng)站之間的關(guān)系一般來說都是水火不容的,而這次事故里,黑客發(fā)起攻擊后竊取 3.2 萬美金的加密貨幣后卻全數(shù)歸還,網(wǎng)站方也給予 5000 美元作為獎勵,連發(fā)起攻擊的成本也得到了補償……
10 月 6 日,基于以太坊的成人娛樂平臺 SpankChain 遭受黑客攻擊,匿名攻擊者利用該平臺支付渠道智能合約漏洞竊取 165.38 枚 ETH,價值約 38000 美元。同時該漏洞導(dǎo)致了價值 4000 美元SpankChain的內(nèi)部代幣BOOTY無法流通。
在事發(fā)第二天該平臺才意識到這次匿名攻擊,立即對外發(fā)布公告宣布這次事故,表示將重新部署支付渠道的智能合約以防再次受到攻擊,同時積極補償遭受損失的用戶。
根據(jù) SpankChain 的調(diào)查,黑客利用了一個可重入性漏洞創(chuàng)建偽裝成 ERC20 令牌的惡意合同,通過轉(zhuǎn)移功能多次回調(diào)到支付渠道合同中,每次都提取一些 ETH 。以下是攻擊者的一些信息:
付款渠道合同:https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code
攻擊者地址:https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199
來自攻擊者帳戶的內(nèi)部 tx(重入):https://etherscan.io/address/0xcf267ea3f1ebae3c29fea0a3253f94f3122c2199#internaltx
攻擊者的惡意合同:https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e
來自攻擊者惡意合同的內(nèi)部tx(重入):https://etherscan.io/address/0xc5918a927c4fb83fe99e30d6f66707f4b396900e#internaltx
而在 10 月 11 日,事情發(fā)生了大反轉(zhuǎn)。SpankChain 在Twitter上表示,通過電話與竊取 ETH 的黑客溝通之后,黑客已經(jīng)全部歸還竊取的 ETH。而 SpankChain 則以 5000 美元作為獎勵回報這位匿名黑客,并且給予 5.5 ETH 用來補償黑客發(fā)動攻擊的成本。(呃……匿名黑客這么容易就被找到了么……)
恭喜你,匿名黑客!
——SpankChain
自從加密貨幣、區(qū)塊鏈火了之后,大大小小的黑客攻擊事件層出不窮。智能合約理論上是很難被入侵的,但目前仍然是一種年輕的技術(shù),很容易出現(xiàn)漏洞被攻擊者利用。像本次事件中,黑客主動歸還被盜的加密貨幣也是非常少見(成人網(wǎng)站的黑客素質(zhì)這么高的嘛),一次黑客惡意攻擊反轉(zhuǎn)變成類似白帽漏洞賞金案例,不知道這位“好心的”黑客會不會繼續(xù)被追究責(zé)任。
| 
