作者： Victor Fang

Who let the spank hurt？

据 Coindesk 消息，数字货币项目 SpankChain 称其在周六下午 18:00 （太平洋标准时间）左右遭受了黑客攻击，损失了 165.38 ETH （当时价值约 3.8 万美元），另有价值 4000 美元的 BOOTY 币遭冻结。此次攻击或是通过智能合约漏洞进行。

SpankChain 在其官方 medium 平台发文称其被黑（打屁屁）

SpankChain 是一个建立在以太坊上的成人娱乐生态系统，致力于用区块链技术为成人产业打造一个经济和技术基础设施（志向远大，心态耿直，简称区块链版的 PornHub）。基于以太坊的智能合约，能够消除第三方中介及不公平的支付方式，同时提供更强的隐私性和安全性。简而言之，是一个让成人娱乐不怕羞羞，内容提供者不怕被诓的正义感爆棚技术公司。SpankChain 于 2017 年 11 月 25 日上线交易，项目更是邀请到了著名艳星 Kayden Kross 代言，成人们表示：一看就是专业的，市值一度飙升至 1 亿 8 千万美元！

SpankChain 代言人： Kayden Kross

罪恶的手拍得猝不及防，公告称，直到周日下午 19:00 （太平洋标准时间）团队才意识到遭受攻击，随即将 Spank.live 设置为离线状态以防止资金继续流失。与此同时，团队公布了应对措施：

在接下来 2-3 天（或许更久）里，我们计划将网络恢复正常，同时：

重新部署支付渠道的智能合约以防止任何后续的黑客攻击；升级 Spank.live 的支付渠道合约；向此次事件中被盗取 ETH 及 BOOTY 的用户空投等值的 ETH 到其 SpankPay 账户作为补偿；修复我们最初在 BOOTY 升级工作中的错误。

The CAP said: naughty spank

智能合约漏洞分析 ：

虽然 SpankChain 是无辜的，但单纯美好的事物为什么没能逃过魔爪？因为调皮。

经过 AnChain.ai 的 CAP 智能合约自动审计平台扫描发现，SpankChain 的 LedgerChannel 智能合约（地址 : https://etherscan.io/address/0xf91546835f756da0c10cfa0cda95b15577b84aa7#code）不仅存在已知的 Reentrancy 漏洞（导致 2016 年 DAO 被攻击的大型安全事件）， 还存在如下高危漏洞：

Timestamp Dependency 时间戳依赖性

● 该漏洞会导致恶意矿工可以通过修改时间戳来作恶。

● https://www.dasp.co/#item-8

Transaction-OrderingDependency 交易顺序依赖性 （抢跑漏洞）

● 该漏洞会导致恶意矿工通过监控区块链上未完成的交易，进而作弊得到其他未完成交易的计算结果，然后用高额 gas 从而达到自己优先挖到矿。

● https://www.dasp.co/#item-7

AnChain.ai CAP 智能合约审计平台产品结果图

另外，CAP 引擎测试发现， SpankChain 团队自行开发的智能合约的 EVM 代码覆盖率比较低。 EVM 代码覆盖率这个指标，定量的刻画了代码被测试用例覆盖的百分比。 一般来说， 在同等情况下，该指标越高越好。若代码覆盖率 100% 说明所有的代码执行分支都被测试用例覆盖。

三个 SpankChain 自行开发的 solidity 类的代码覆盖率，严重低于专业业界标准：

● ECTools 19.7%

● HumanStandardToken 56.3%

● LedgerChannel 41.7%

对比他们合约内部调用的 StandardToken 库的接近 100% 的代码覆盖率。 StandardToken 由美国著名智能合约开发团队 OpenZeppelin 开源。

● StandardToken 99.9%

值得一提的是， CAP 产品运行在容器云平台，实测 SpankChain 耗时仅需 49 秒钟，被多引擎全自动扫描所有常见的数十种智能合约漏洞。

AnChain.ai 旨在使用 CAP 全自动平台产品， 为广大智能合约开发者提供免费、快捷的漏洞扫描负责。

不管是成人视频 DApp 项目 SpankChain，还是资金盘 DApp Fomo3D，抑或是去中心化交易所 IDEX ，我们希望 CAP 能为区块链上的智能合约资产保驾护航。