De acordo com o relatório, a causa raiz do ataque foi que a operação de adição no numerador do cálculo de preço do contrato Purchase não utilizou a biblioteca SafeMath para proteção contra overflow.
Como ocorreu o hack do Truebit?
O relatório de auditoria da SlowMist revelou que o contrato do Truebit foi supostamente compilado com o Solidity 0.6.10, e o operador nativo + não inclui verificações de overflow. O atacante conseguiu causar tanto dano ao criar uma quantidade específica de minting, que acionou a operação de adição para exceder o valor máximo de uint256 e reiniciar o contador.
A função fez com que o Preço = 0, permitindo a criação de tokens praticamente sem custo e arbitragem, o que o hacker rapidamente aproveitou para drenar 8.535 ETH (~US$ 26,44 milhões). O relatório finalizou com um conselho da equipe SlowMist.
“A equipe de segurança da SlowMist recomenda que, para contratos compilados com versões de Solidity inferiores a 0.8.0, os desenvolvedores garantam que todas as operações aritméticas estejam protegidas usando a biblioteca SafeMath para evitar vulnerabilidades lógicas causadas por overflows de inteiros”, diz o texto.
A equipe do Truebit reconheceu o hack, identificando o smart contract afetado e orientando o público a evitar interações com ele até novo aviso.
“Estamos em contato com as autoridades e tomando todas as medidas disponíveis para lidar com a situação. Compartilharemos atualizações por meio de nossos canais oficiais assim que estiverem disponíveis”, afirmaram.
Um dia depois, a equipe afirmou estar trabalhando arduamente para lidar com o incidente e que havia “mobilizado recursos adicionais para fortalecer a rastreabilidade e recuperação”, prometendo atualizações pelos canais oficiais.
Na seção de comentários da postagem, membros da comunidade ofereceram diversos próximos passos para a equipe, sendo que a maioria afirmou que o protocolo se tornou inutilizável, que provavelmente não recuperariam os fundos e precisavam admitir isso.
Comentadores observaram que a recuperação total pode ser impossível.
O token $TRU ainda está com queda de 100%, sem qualquer alteração percentual e praticamente sem volume de negociação reportado nas principais plataformas desde o hack, o que reflete uma total falta de confiança no potencial de recuperação do projeto.
Hack do Truebit impulsionou brevemente a Uniswap
A Cryptopolitan noticiou em 8 de janeiro que a Uniswap registrou mais de US$ 1,4 milhão em receita de taxas de negociação diárias, o maior valor já registrado pela plataforma desde sua criação.
No entanto, esse número veio com uma ressalva. Segundo um painel do Dune criado por um analista chamado Marcov, quase US$ 1,3 milhão dessas taxas vieram diretamente de negociações relacionadas ao token TRU do Truebit.
Marcov agora filtrou esses valores do painel ao vivo porque o valor do token caiu para zero e não será reivindicado nem utilizado para queima de UNI.
Quer seu projeto em destaque para as principais mentes do mundo cripto? Apresente-o em nosso próximo relatório do setor, onde dados se encontram com impacto.
