Il token Truebit crolla del 99,9% dopo che un hacker sottrae 26,6 milioni di dollari in ether

Il token TRU di Truebit è crollato di quasi il 100% giovedì dopo che, secondo i dati onchain e ricercatori indipendenti, un exploit ha svuotato circa 8.535 ether, per un valore di circa 26,6 milioni di dollari, dalle riserve del protocollo.

Truebit, un progetto di verifica e computazione basato su Ethereum, ha dichiarato di essere "a conoscenza di un incidente di sicurezza che coinvolge uno o più attori malevoli", aggiungendo di essere in contatto con le forze dell'ordine e di aver avviato delle misure per affrontare la situazione.

Gli analisti blockchain di Lookonchain hanno stimato il furto in 8.535 ETH. Il ricercatore Weilin Li ha attribuito l'attacco a una vulnerabilità in uno smart contract più vecchio, implementato circa cinque anni fa, in cui una funzione di minting poteva restituire un prezzo di acquisto pari a zero per un acquisto di token insolitamente grande.

Questo ha permesso all'attaccante di acquistare ripetutamente TRU praticamente senza alcun costo, per poi rivenderlo immediatamente nella riserva della bonding-curve al fine di prelevare ether.

Un ricercatore onchain indipendente, “n0b0dy”, ha descritto il flusso come una serie di cicli di acquisto e vendita che hanno sfruttato errori di prezzo man mano che il saldo della riserva cambiava, prosciugando gradualmente il pool. Secondo quanto riferito, il wallet coinvolto avrebbe pagato una piccola "builder bribe" per dare priorità alle transazioni.

L’exploit ha portato TRU a un crollo quasi totale, con il token che è sceso fino al 99,9% mentre la liquidità evaporava e i detentori si precipitavano a uscire.

L’incidente rappresenta l’ennesimo promemoria che i contratti più vecchi possono rimanere una superficie d’attacco molto tempo dopo essere caduti nell’oblio.

Anche se il codice attuale di un protocollo viene aggiornato, le implementazioni legacy e la logica di pricing dimenticata possono ancora essere prese di mira se detengono valore o sono collegate a riserve.

Truebit non ha ancora pubblicato una relazione completa sull’accaduto né confermato se i contratti interessati siano stati sospesi.