Bumagsak ng 99.9% ang Truebit token matapos manakaw ng hacker ang $26.6 milyon sa ether

Ang TRU token ng Truebit ay bumagsak nang halos 100% noong Huwebes matapos ang isang exploit na nagdulot ng pagkawala ng humigit-kumulang 8,535 ether, na tinatayang nagkakahalaga ng $26.6 milyon, mula sa mga reserba ng protocol, ayon sa onchain data at mga independenteng mananaliksik.

Ang Truebit, isang proyekto ng verification at computation na nakabase sa Ethereum, ay nagsabing “alam nito ang isang insidenteng pangseguridad na kinasasangkutan ng isa o higit pang masasamang aktor,” at idinagdag na ito ay nakikipag-ugnayan sa mga awtoridad at gumagawa ng mga hakbang upang tugunan ang sitwasyon.

Tinukoy ng mga blockchain analyst sa Lookonchain na ang nanakaw ay umabot sa 8,535 ETH. Iniuugnay ng mananaliksik na si Weilin Li ang pag-atake sa isang depekto sa isang lumang smart contract na nailunsad mga limang taon na ang nakalilipas, kung saan ang isang minting function ay maaaring magbalik ng presyo ng pagbili na zero para sa isang hindi pangkaraniwang malaking bili ng token.

Pinayagan nito ang attacker na paulit-ulit na bumili ng TRU na halos walang bayad, at agad itong ibinenta pabalik sa bonding-curve reserve upang makakuha ng ether.

Inilarawan ng independenteng onchain researcher na si “n0b0dy” ang daloy bilang isang serye ng buy-and-sell loops na nagsamantala sa maling pagpepresyo habang nagbabago ang balanse ng reserba, na unti-unting nag-drain ng pool. Ang wallet na sangkot ay iniulat na nagbayad ng maliit na builder bribe upang bigyang prayoridad ang mga transaksyon.

Ang exploit ay nagdala sa TRU sa halos ganap na pagbagsak, na bumagsak ang token ng hanggang 99.9% habang nawala ang liquidity at nagmadali ang mga holder na mag-exit.

Ang insidenteng ito ay pinakahuling paalala na ang mga lumang kontrata ay maaari pa ring maging surface ng pag-atake kahit matagal na silang hindi napapansin.

Kahit na ang kasalukuyang code ng isang protocol ay na-update na, ang mga legacy deployment at nakalimutang logic sa pagpepresyo ay maaari pa ring maging target kung naglalaman ito ng halaga o nakakonekta sa mga reserba.

Hindi pa naglalathala ang Truebit ng kumpletong post-mortem o nakumpirma kung ang mga apektadong kontrata ay napahinto na.