レポートによると、攻撃の根本的な原因は、Purchaseコントラクトの価格計算の分子で加算演算がSafeMathライブラリを用いてオーバーフロー保護を行っていなかったことです。
Truebitハッキングはどのようにして起きたのか?
SlowMistの監査レポートによれば、TruebitのコントラクトはSolidity 0.6.10でコンパイルされており、ネイティブの+演算子にはオーバーフローのチェックが含まれていませんでした。攻撃者は特定のミント量を作成することで、加算演算がuint256の最大値を超えてラップアラウンドするように仕組み、大きな被害をもたらしました。
この関数によりPriceが0となり、ほぼゼロコストでトークンのミントとアービトラージが可能となりました。ハッカーはこの脆弱性をすぐに悪用し、8,535 ETH(約2,644万ドル)を流出させました。レポートはSlowMistチームからのアドバイスで締めくくられています。
「SlowMistセキュリティチームは、Solidity 0.8.0未満のバージョンでコンパイルされたコントラクトについて、すべての算術演算をSafeMathライブラリで保護し、整数オーバーフローによるロジック脆弱性を防ぐことを開発者に推奨します」と記載されています。
Truebitチームはこのハッキングを認め、影響を受けたスマートコントラクトを特定し、さらなる通知があるまで同コントラクトとのやり取りを避けるよう公衆に呼びかけました。
「私たちは法執行機関と連絡を取り合い、状況に対処するために利用可能なすべての手段を講じています。進展があり次第、公式チャンネルを通じて情報を共有します」と彼らは述べています。
翌日、チームは事件への対応に全力を尽くしているとし、「追跡と回収を強化するために追加のリソースを投入した」と発表、公式チャンネルを通じてアップデートを約束しました。
投稿のコメント欄では、コミュニティメンバーがチームに対して様々な次のステップを提案しており、大多数はプロトコルが使用不能となり、資金の回収は不可能である可能性が高く、その事実を認めるべきだと主張しています。
コメント者の中には、完全な回収は不可能であると指摘する声もあります。
$TRUトークンは現在も100%下落し、変動率はゼロ、主要プラットフォームでもほぼ取引量が報告されていません。このことは、プロジェクトが再起する可能性に対する信頼の完全な喪失を反映しています。
Truebitのハッキングが一時的にUniswapを後押し
Cryptopolitanは1月8日、Uniswapが1日の取引手数料収入として過去最高となる140万ドル超を記録したと報じました。
しかし、この記録的な数字には注意点があります。アナリストのMarcovが作成したDuneダッシュボードによると、その手数料のうち約130万ドルがTruebitのTRUトークンに関連した取引から直接もたらされました。
現在Marcovは、トークン価値がゼロになり、UNIのバーンに利用・請求されることがなくなったため、ライブダッシュボードからこれらの値を除外しています。
あなたのプロジェクトを仮想通貨業界のトップ層にアピールしませんか?次回の業界レポートで、データとインパクトの融合を実現しましょう。
