9 Ekim tarihinde gün yüzüne çıkan bir habere göre, yetişkin içerik bulunduran bir internet sitesinin ICO projesi saldırıya uğramış ve 165.38 ETH değerinde fon kaybetmişti. SpankChain isimli projenin başına gelen saldırı, o anın birim fiyatına göre 38.000 dolara yakın olmakla beraber firmanın itibarını da ciddi anlamda zedeledi.
İlginç olan şudur ki, firma geçtiğimiz tarihlerde DAO platformunun hacklenmesinde de kullanılan ”reetrancy” isimli bug sayesinde platforma erişebildi ve oluşan açıktan faydalandı:
”Kısacası, saldırı DAO platformunda da kullanılan ”reentrancy” bugunu aktif hale getirmiş. Saldırgan bir ERC20 Tokeni olarak gizlenen kötü amaçlı kontrat oluşturmuş ve ”transfer” fonksiyonu ödeme kanalı kontratını bir kaç defa tekrar devreye sokmuş ve her defasında belirli bir miktar ETH çalmış.”
Olaydan bir gün sonra ise Cornell Üniversitesi profesörü ünlü Türk isim Emin Gün Sirer, konu hakkında bir tweet attı.
BTW, I’ve seen other contracts like this one that implicitly trust the erc-20 tokens issued on top of their platform to not perform reentrant calls. I’m sure this isn’t the last episode of this bug.
— Emin Gün Sirer (@el33th4xor) 10 Ekim 2018
Sirer, SpankChain’in kullandığı akıllı kontratların benzerlerini de incelediğini ve bu bug kullanılarak yapılan saldırının son olmadığını ifade etti. Söz konusu bug kullanılarak DAO’ya yapılan saldırıda 3.6 milyon ether çalınmış ve Ether fiyatı o tarihlerde 20 dolardan 13 dolara kadar inmişti.