Oto jak doszło do włamania na Truebit

Firma zajmująca się bezpieczeństwem blockchain SlowMist udostępniła swój raport z audytu dotyczący włamania, które doprowadziło do utraty 26 milionów dolarów z protokołu Truebit. 

Według raportu, główną przyczyną ataku było to, że operacja dodawania w liczniku kalkulacji ceny kontraktu Purchase nie używała biblioteki SafeMath do ochrony przed przepełnieniem. 

Jak doszło do włamania Truebit? 

Raport audytowy SlowMist ujawnił, że kontrakt Truebit został rzekomo skompilowany z użyciem Solidity 0.6.10, a natywny operator + nie zawiera kontroli przepełnienia. Atakujący był w stanie wywołać takie spustoszenie, tworząc określoną ilość do wybicia, co spowodowało, że operacja dodawania przekroczyła maksymalną wartość uint256 i zawróciła. 

Funkcja spowodowała, że Price = 0, umożliwiając wybijanie tokenów i arbitraż przy prawie zerowym koszcie, co haker szybko wykorzystał do wyprowadzenia 8 535 ETH (~26,44 miliona dolarów). Raport zakończył się radą od zespołu SlowMist. 

"Zespół bezpieczeństwa SlowMist zaleca, aby w przypadku kontraktów skompilowanych w wersjach Solidity poniżej 0.8.0, programiści zapewnili, że wszystkie operacje arytmetyczne są chronione przy użyciu biblioteki SafeMath, aby zapobiec lukom w logice spowodowanym przepełnieniem liczb całkowitych" – czytamy. 

Zespół Truebit potwierdził włamanie, identyfikując dotknięty smart kontrakt i zalecając opinii publicznej unikanie interakcji z nim do odwołania. 

"Jesteśmy w kontakcie z organami ścigania i podejmujemy wszelkie dostępne środki w celu rozwiązania sytuacji. Będziemy udostępniać aktualizacje za pośrednictwem naszych oficjalnych kanałów, gdy tylko będą dostępne" – twierdzili. 

Dzień później zespół twierdził, że ciężko pracuje nad rozwiązaniem incydentu i że "zaangażował dodatkowe zasoby w celu wzmocnienia śledzenia i odzyskiwania", obiecując jednocześnie aktualizacje za pośrednictwem oficjalnych kanałów.

W sekcji komentarzy do wpisu członkowie społeczności zaproponowali zespołowi różne kolejne kroki, przy czym większość twierdziła, że protokół stał się bezużyteczny, że jest mało prawdopodobne, aby odzyskali środki i muszą to przyznać. 

Komentatorzy zauważyli, że pełne odzyskanie może być niemożliwe. 

Token $TRU nadal jest w dół o 100% z zerową zmianą procentową i praktycznie bez wolumenu obrotu raportowanego na głównych platformach od czasu włamania, co odzwierciedla całkowity brak wiary w potencjał projektu do odbicia się.

Włamanie Truebit dało Uniswap krótkotrwały wzrost 

Cryptopolitan donosił 8 stycznia, że Uniswap odnotował ponad 1,4 miliona dolarów dziennych przychodów z opłat transakcyjnych, najwyższy wynik, jaki platforma kiedykolwiek odnotowała od czasu jej utworzenia. 

Jednak ta rekordowa liczba wiązała się z zastrzeżeniem. Według panelu Dune stworzonego przez analityka o imieniu Marcov, prawie 1,3 miliona dolarów z tych opłat pochodziło bezpośrednio z transakcji związanych z tokenem TRU Truebit. 

Marcov odfiltrował teraz te wartości z panelu na żywo, ponieważ wartość tokena spadła do zera i nie zostanie zgłoszona i użyta do spalenia UNI.

Nie tylko czytaj wiadomości o kryptowalutach. Rozumiej je. Zapisz się do naszego newslettera. Jest darmowy.