Згідно зі звітом, основною причиною атаки стало те, що операція додавання у чисельнику розрахунку ціни контракту Purchase не використовувала бібліотеку SafeMath для захисту від переповнення.
Як стався злам Truebit?
Звіт аудиту SlowMist показав, що контракт Truebit був скомпільований з використанням Solidity 0.6.10, і вбудований оператор + не містить перевірок на переповнення. Зловмисник зміг завдати великої шкоди, підібравши певну кількість для карбування токенів, що призвело до перевищення максимально можливого значення uint256 і переповнення під час операції додавання.
Функція зробила Price = 0, що дозволило карбувати токени майже безкоштовно і проводити арбітраж, чим хакер швидко скористався, вивівши 8,535 ETH (~$26.44 мільйона). Звіт завершився порадами від команди SlowMist.
“Команда безпеки SlowMist рекомендує для контрактів, скомпільованих із версіями Solidity нижче 0.8.0, переконатися, що всі арифметичні операції захищені за допомогою бібліотеки SafeMath, щоб уникнути логічних вразливостей, спричинених переповненням цілих чисел”, — йдеться у звіті.
Команда Truebit підтвердила злам, ідентифікувала уражений смарт-контракт та порадила суспільству не взаємодіяти з ним до подальших повідомлень.
“Ми перебуваємо в контакті з правоохоронними органами та вживаємо всіх можливих заходів для вирішення ситуації. Ми будемо ділитися оновленнями через наші офіційні канали, як тільки вони з’являться”, — заявили вони.
Через день команда повідомила, що активно працює над вирішенням інциденту та “залучила додаткові ресурси для посилення відстеження та відновлення”, обіцяючи оновлення через офіційні канали.
У розділі коментарів до допису члени спільноти запропонували команді різні подальші кроки, більшість з яких стверджували, що протокол став непридатним для використання, що ймовірність повернення коштів низька, і це потрібно визнати.
Коментатори зазначили, що повне відновлення може бути неможливим.
Токен $TRU досі впав на 100% — без зміни ціни та практично без торгового обігу на основних платформах з моменту злому, що відображає повну втрату віри у можливість проєкту відновитися.
Злам Truebit дав Uniswap короткочасний імпульс
Ukrainian Cryptopolitan повідомив 8 січня, що Uniswap зафіксував понад $1,4 мільйона щоденного доходу від торгових комісій — це найбільший показник з моменту заснування платформи.
Однак цей рекордний показник мав застереження. Згідно з Dune dashboard, створеним аналітиком на ім’я Marcov, майже $1,3 мільйона цих комісій надійшли безпосередньо від угод, пов’язаних із токеном TRU Truebit.
Marcov наразі виключив ці значення з live dashboard, оскільки вартість токена впала до нуля, і вони не будуть заявлені та використані для спалювання UNI.
Хочете, щоб ваш проєкт побачили провідні розуми криптоіндустрії? Представте його у нашому наступному галузевому звіті, де дані поєднуються з впливом.
