Menurut laporan tersebut, penyebab utama dari serangan ini adalah operasi penjumlahan pada pembilang perhitungan harga kontrak Purchase tidak menggunakan library SafeMath untuk perlindungan overflow.
Bagaimana peretasan Truebit terjadi?
Laporan audit dari SlowMist mengungkapkan bahwa kontrak Truebit dilaporkan dikompilasi dengan Solidity 0.6.10, dan operator + bawaan tidak menyertakan pemeriksaan overflow. Penyerang dapat menimbulkan kerusakan besar dengan membuat jumlah minting tertentu, yang memicu operasi penjumlahan hingga melebihi nilai maksimum uint256 dan berputar kembali.
Fungsi tersebut membuat Price = 0, memungkinkan minting token dengan biaya hampir nol dan arbitrase, yang segera dimanfaatkan oleh peretas untuk menguras 8.535 ETH (~$26,44 juta). Laporan tersebut diakhiri dengan saran dari tim SlowMist.
“Tim keamanan SlowMist merekomendasikan bahwa untuk kontrak yang dikompilasi dengan versi Solidity di bawah 0.8.0, pengembang harus memastikan bahwa semua operasi aritmatika dilindungi menggunakan library SafeMath untuk mencegah kerentanan logika akibat integer overflow,” demikian bunyi laporan tersebut.
Tim Truebit telah mengakui adanya peretasan ini, mengidentifikasi smart contract yang terdampak dan menyarankan publik untuk menghindari interaksi dengannya hingga pemberitahuan lebih lanjut.
“Kami sedang berkomunikasi dengan penegak hukum dan mengambil semua langkah yang tersedia untuk menangani situasi ini. Kami akan membagikan pembaruan melalui saluran resmi kami begitu tersedia,” klaim mereka.
Satu hari kemudian, tim tersebut mengklaim sedang bekerja keras untuk menangani insiden tersebut dan bahwa mereka telah “melibatkan sumber daya tambahan untuk memperkuat pelacakan dan pemulihan,” sambil berjanji memberikan pembaruan melalui saluran resmi.
Di bagian komentar pada postingan tersebut, anggota komunitas menawarkan berbagai langkah selanjutnya untuk tim, dengan mayoritas menyatakan bahwa protokol tersebut telah menjadi tidak dapat digunakan, bahwa kemungkinan besar dana tidak akan bisa dipulihkan, dan mereka perlu mengakui hal itu.
Para komentator mencatat bahwa pemulihan penuh mungkin mustahil.
Token $TRU masih turun 100% dengan perubahan persentase nol dan hampir tidak ada volume perdagangan yang dilaporkan di platform utama sejak peretasan, yang mencerminkan kurangnya kepercayaan sepenuhnya pada potensi proyek untuk bangkit kembali.
Peretasan Truebit memberi Uniswap dorongan singkat
Cryptopolitan melaporkan pada 8 Januari bahwa Uniswap mencatat lebih dari $1,4 juta pendapatan penangkapan biaya perdagangan harian, tertinggi yang pernah dicapai platform tersebut sejak didirikan.
Namun, angka rekor tersebut disertai dengan catatan. Menurut dashboard Dune yang dibuat oleh seorang analis bernama Marcov, hampir $1,3 juta dari biaya tersebut berasal langsung dari perdagangan terkait token TRU milik Truebit.
Marcov kini telah memfilter nilai-nilai tersebut dari dashboard live karena nilai token telah turun ke nol dan tidak akan diklaim maupun digunakan untuk membakar UNI.
Ingin proyek Anda tampil di depan para pemikir teratas crypto? Tampilkan di laporan industri kami berikutnya, di mana data bertemu dampak.
