وفقًا لـ التقرير، كان السبب الجذري للهجوم هو أن عملية الجمع في بسط حساب سعر عقد Purchase لم تستخدم مكتبة SafeMath للحماية من تجاوز السعة.
كيف حدث اختراق Truebit؟
كشف تقرير تدقيق SlowMist أن عقد Truebit تم تجميعه باستخدام Solidity 0.6.10، وأن العامل الأصلي + لا يتضمن عمليات التحقق من تجاوز السعة. تمكن المهاجم من إحداث ضرر كبير من خلال إنشاء كمية سك محددة تسببت في تجاوز عملية الجمع للقيمة القصوى لـ uint256 وأدى ذلك إلى الالتفاف حولها.
تسببت الدالة في أن يكون السعر = 0، مما أتاح سك التوكنز بتكلفة شبه صفرية وتحقيق أربيتراج، وهو ما استغله المخترق بسرعة لسحب 8,535 ETH (~26.44 مليون دولار). وانتهى التقرير بنصيحة من فريق SlowMist.
"يوصي فريق SlowMist الأمني بأنه بالنسبة للعقود التي تم تجميعها باستخدام إصدارات Solidity أقل من 0.8.0، يجب على المطورين التأكد من حماية جميع العمليات الحسابية باستخدام مكتبة SafeMath لمنع ثغرات المنطق الناتجة عن تجاوز الأعداد الصحيحة"، بحسب ما جاء في التقرير.
وقد اعترف فريق Truebit بالاختراق، وحدد العقد الذكي المتأثر ونصح الجمهور بتجنب التفاعل معه حتى إشعار آخر.
"نحن على تواصل مع سلطات إنفاذ القانون ونتخذ جميع التدابير المتاحة لمعالجة الوضع. سنشارك التحديثات من خلال قنواتنا الرسمية بمجرد توفرها"، بحسب ما ذكروا.
وفي اليوم التالي، قال الفريق إنه يعمل بجد لمعالجة الحادث وأنه "استعان بموارد إضافية لتعزيز التتبع والاسترداد"، مع وعد بتقديم التحديثات عبر القنوات الرسمية.
وفي قسم التعليقات على المنشور، قدم أعضاء المجتمع اقتراحات مختلفة للفريق، حيث ادعى الأغلبية أن البروتوكول أصبح غير قابل للاستخدام، وأنه من غير المرجح استرداد الأموال، وأن عليهم الاعتراف بذلك.
وأشار المعلقون إلى أن الاسترداد الكامل قد يكون مستحيلاً.
لا يزال رمز $TRU منخفضًا بنسبة 100% دون أي تغيير في النسبة، مع عدم وجود حجم تداول يُذكر عبر المنصات الرئيسية منذ الاختراق، مما يعكس فقدان الثقة الكامل في إمكانية عودة المشروع.
اختراق Truebit منح Uniswap دفعة مؤقتة
ذكرت صحيفة كريبتوبوليتان في 8 يناير أن Uniswap سجلت أكثر من 1.4 مليون دولار من رسوم التداول اليومية، وهو أعلى رقم سجلته المنصة منذ تأسيسها.
ومع ذلك، جاء هذا الرقم القياسي مع تحذير. وفقًا لـ Dune dashboard الذي أنشأه محلل يُدعى Marcov، جاء ما يقرب من 1.3 مليون دولار من هذه الرسوم مباشرة من التداولات المتعلقة برمز TRU الخاص بـ Truebit.
وقد قام Marcov الآن بإزالة هذه القيم من لوحة المعلومات المباشرة لأن قيمة الرمز قد انخفضت إلى الصفر ولن يتم المطالبة بها أو استخدامها لحرق UNI.
هل ترغب في إبراز مشروعك أمام أبرز العقول في مجال الكريبتو؟ قدمه في تقريرنا الصناعي القادم، حيث تلتقي البيانات بالتأثير.
