Według raportu, główną przyczyną ataku było to, że operacja dodawania w liczniku obliczania ceny kontraktu Purchase nie korzystała z biblioteki SafeMath zapewniającej ochronę przed przepełnieniem.
Jak doszło do ataku na Truebit?
Raport audytowy SlowMist ujawnił, że kontrakt Truebit został skompilowany z użyciem Solidity 0.6.10, a natywny operator + nie zawiera kontroli przepełnienia. Atakujący był w stanie wyrządzić tak duże szkody, tworząc określoną ilość mintingu, która spowodowała, że operacja dodawania przekroczyła maksymalną wartość uint256 i zawinęła się.
Funkcja spowodowała, że Price = 0, umożliwiając niemal darmowe mintowanie tokenów i arbitraż, z czego haker szybko skorzystał, wyprowadzając 8 535 ETH (~26,44 miliona dolarów). Raport zakończył się radą od zespołu SlowMist.
„Zespół ds. bezpieczeństwa SlowMist zaleca, aby dla kontraktów kompilowanych z wersjami Solidity poniżej 0.8.0 deweloperzy upewnili się, że wszystkie operacje arytmetyczne są chronione przy użyciu biblioteki SafeMath, aby zapobiec lukom logicznym spowodowanym przepełnieniami liczb całkowitych” – czytamy.
Zespół Truebit potwierdził atak, identyfikując dotknięty kontrakt smart i zalecając publiczności unikanie interakcji z nim do odwołania.
„Jesteśmy w kontakcie z organami ścigania i podejmujemy wszelkie dostępne środki, aby rozwiązać sytuację. Będziemy dzielić się aktualizacjami za pośrednictwem naszych oficjalnych kanałów, gdy tylko będą dostępne”, zapewniają.
Dzień później zespół zadeklarował, że intensywnie pracuje nad rozwiązaniem incydentu i „zaangażował dodatkowe zasoby w celu wzmocnienia śledzenia i odzyskiwania”, jednocześnie obiecując aktualizacje przez oficjalne kanały.
W sekcji komentarzy pod postem członkowie społeczności zaproponowali zespołowi różne następne kroki, z czego większość stwierdziła, że protokół stał się nieużyteczny, szanse na odzyskanie środków są niewielkie i powinni to przyznać.
Komentatorzy zauważyli, że pełne odzyskanie środków może być niemożliwe.
Token $TRU nadal pozostaje 100% poniżej poprzedniej wartości, bez żadnej zmiany procentowej i praktycznie bez wolumenu obrotu na głównych platformach od czasu ataku, co odzwierciedla całkowity brak wiary w potencjał projektu na odbudowę.
Atak na Truebit przyniósł Uniswapowi krótkotrwały wzrost
Według Cryptopolitan, 8 stycznia Uniswap zanotował ponad 1,4 miliona dolarów dziennego przychodu z opłat transakcyjnych – najwięcej w historii platformy od momentu jej powstania.
Jednakże ten rekordowy wynik miał swoje zastrzeżenia. Według panelu Dune stworzonego przez analityka o imieniu Marcov, prawie 1,3 miliona dolarów tych opłat pochodziło bezpośrednio z transakcji związanych z tokenem TRU Truebit.
Marcov wykluczył już te wartości z bieżącego panelu, ponieważ wartość tokena spadła do zera i nie zostanie zgłoszona ani wykorzystana do spalania UNI.
Chcesz, aby Twój projekt znalazł się przed czołowymi umysłami rynku kryptowalut? Zgłoś go w naszym kolejnym raporcie branżowym, gdzie dane spotykają się z wpływem.
