Token Truebit desaba 99,9% após hacker drenar US$ 26,6 milhões em ether

O token TRU da Truebit despencou quase 100% nesta quinta-feira após um exploit drenar cerca de 8.535 ether, no valor aproximado de US$ 26,6 milhões, das reservas do protocolo, de acordo com dados on-chain e pesquisadores independentes.

A Truebit, um projeto de verificação e computação baseado em Ethereum, afirmou estar “ciente de um incidente de segurança envolvendo um ou mais agentes maliciosos”, acrescentando que está em contato com as autoridades e tomando medidas para lidar com a situação.

Analistas de blockchain da Lookonchain estimaram o roubo em 8.535 ETH. O pesquisador Weilin Li atribuiu o ataque a uma falha em um contrato inteligente antigo, implantado há cerca de cinco anos, no qual uma função de mint poderia retornar um preço de compra igual a zero para uma compra incomumente grande de tokens.

Isso permitiu ao atacante comprar TRU repetidamente, basicamente sem custo, e então vendê-lo imediatamente de volta para a reserva de curva de bonding para sacar ether.

O pesquisador independente on-chain “n0b0dy” descreveu o fluxo como uma série de loops de compra e venda que exploraram o erro de precificação à medida que o saldo da reserva mudava, drenando gradualmente o pool. A carteira envolvida supostamente pagou uma pequena propina ao builder para priorizar as transações.

O exploit levou o TRU a um colapso quase total, com o token despencando até 99,9% à medida que a liquidez evaporava e os detentores corriam para sair.

O incidente é o mais recente lembrete de que contratos antigos podem permanecer como superfície de ataque muito tempo depois de saírem do foco.

Mesmo que o código atual de um protocolo seja atualizado, implantações legadas e lógicas de precificação esquecidas ainda podem ser alvo se mantiverem valor ou estiverem conectadas a reservas.

A Truebit ainda não publicou um post-mortem completo nem confirmou se os contratos afetados foram pausados.