Secondo il rapporto, la causa principale dell’attacco è stata che l’operazione di addizione nel numeratore del calcolo del prezzo del contratto Purchase non utilizzava la libreria SafeMath per la protezione da overflow.
Come è avvenuto l’hack di Truebit?
Il rapporto di audit di SlowMist ha rivelato che il contratto di Truebit era stato apparentemente compilato con Solidity 0.6.10, e l’operatore nativo + non include controlli di overflow. L’attaccante è riuscito a causare danni significativi creando una quantità specifica da mintare, che ha fatto sì che l’operazione di addizione superasse il valore massimo di uint256 e si avvolgesse.
La funzione ha portato il prezzo a Price = 0, consentendo il minting dei token quasi a costo zero e l’arbitraggio, di cui l’hacker ha approfittato rapidamente per drenare 8.535 ETH (~26,44 milioni di dollari). Il rapporto si è concluso con un consiglio da parte del team SlowMist.
“Il team di sicurezza SlowMist raccomanda che, per i contratti compilati con versioni di Solidity inferiori alla 0.8.0, gli sviluppatori si assicurino che tutte le operazioni aritmetiche siano protette utilizzando la libreria SafeMath per prevenire vulnerabilità logiche causate da overflow di interi”, si legge nel rapporto.
Il team di Truebit ha riconosciuto l’attacco, identificando il contratto smart interessato e consigliando al pubblico di evitare qualsiasi interazione con esso fino a nuovo avviso.
“Siamo in contatto con le forze dell’ordine e stiamo adottando tutte le misure disponibili per affrontare la situazione. Condivideremo aggiornamenti attraverso i nostri canali ufficiali non appena disponibili”, hanno dichiarato.
Il giorno successivo, il team ha affermato di lavorare duramente per affrontare l’incidente e di aver “coinvolto ulteriori risorse per rafforzare le attività di tracciamento e recupero”, promettendo aggiornamenti attraverso i canali ufficiali.
Nella sezione commenti del post, i membri della community hanno suggerito diversi passi successivi al team, con la maggior parte che affermava che il protocollo era diventato inutilizzabile, che era improbabile il recupero dei fondi e che dovevano ammetterlo.
Alcuni commentatori hanno osservato che un recupero completo potrebbe essere impossibile.
Il token $TRU è ancora in calo del 100%, senza variazioni percentuali e con praticamente nessun volume di scambi segnalato sulle principali piattaforme dopo il furto, a testimonianza della totale mancanza di fiducia nel potenziale del progetto di riprendersi.
L’hack di Truebit ha dato una spinta temporanea a Uniswap
Cryptopolitan ha riportato l’8 gennaio che Uniswap ha registrato oltre 1,4 milioni di dollari di entrate giornaliere dalle commissioni di trading, il valore più alto mai raggiunto dalla piattaforma dalla sua creazione.
Tuttavia, questo dato record presenta una nota. Secondo una dashboard Dune creata dall’analista Marcov, quasi 1,3 milioni di dollari di queste commissioni provenivano direttamente da scambi legati al token TRU di Truebit.
Marcov ora ha filtrato quei valori dalla dashboard live perché il valore del token è sceso a zero e non verrà rivendicato né usato per bruciare UNI.
Vuoi che il tuo progetto sia visibile alle menti più brillanti del settore crypto? Presentalo nel nostro prossimo report di settore, dove i dati incontrano l’impatto.
