Ayon sa ulat, ang pangunahing dahilan ng pag-atake ay ang operasyon ng pagdagdag sa numerator ng kalkulasyon ng presyo sa Purchase contract ay hindi gumamit ng SafeMath library para sa overflow protection.
Paano nangyari ang Truebit hack?
Ibinunyag ng audit report ng SlowMist na ang kontrata ng Truebit ay umano'y na-compile gamit ang Solidity 0.6.10, at ang native na operator na + ay hindi kasama ang overflow checks. Nagawa ng attacker na magdulot ng malaking pinsala sa pamamagitan ng pagbuo ng isang partikular na minting amount, na nag-trigger sa addition operation na lumampas sa maximum value ng uint256 at nag-wrap around.
Ang function ay nagresulta sa Price = 0, na nagbigay-daan sa halos walang halagang minting ng token at arbitrage, na agad sinamantala ng hacker upang ma-withdraw ang 8,535 ETH (~$26.44 milyon). Nagtapos ang ulat sa payo mula sa SlowMist team.
“Iminumungkahi ng SlowMist security team na para sa mga kontratang na-compile gamit ang Solidity na bersyon mas mababa sa 0.8.0, dapat tiyakin ng mga developer na ang lahat ng arithmetic operations ay protektado gamit ang SafeMath library upang maiwasan ang mga logic vulnerabilities na dulot ng integer overflows,” ayon sa ulat.
Kinilala na ng Truebit team ang hack, tinukoy ang apektadong smart contract at pinayuhan ang publiko na iwasan munang makipag-interact dito hanggang sa may karagdagang abiso.
“Kami ay nakikipag-ugnayan sa mga awtoridad at ginagawa ang lahat ng posibleng hakbang upang matugunan ang sitwasyon. Magbabahagi kami ng mga update sa pamamagitan ng aming opisyal na channels kapag ito ay available na,” ayon sa kanila.
Isang araw matapos ang insidente, sinabi ng team na sila ay masigasig na nagtatrabaho upang matugunan ito at “nag-ugnay ng karagdagang resources upang palakasin ang tracing at recovery,” kasabay ng pangakong magbibigay ng updates sa opisyal na channels.
Sa comments section ng post, nagbigay ang mga miyembro ng komunidad ng iba't ibang suhestiyon sa team, karamihan ay nagsabing naging hindi na magagamit ang protocol, malabong mabawi pa ang mga pondo, at kailangan na nila itong aminin.
Napansin ng mga komentaryo na maaaring imposibleng mabawi ng buo ang mga nawalang pondo.
Ang $TRU token ay nanatiling bagsak ng 100% na walang pagbabago sa porsyento at halos walang trading volume na naitala sa mga pangunahing platform mula noong naganap ang hack, na nagpapakita ng kawalang-tiwala sa potensyal ng proyekto na makabawi.
Nagbigay ng panandaliang boost sa Uniswap ang Truebit hack
Iniulat ng Cryptopolitan noong Enero 8 na nakapagtala ang Uniswap ng higit $1.4 milyon sa daily trading fee capture revenue, ang pinakamataas na naitala ng platform mula nang ito ay itinatag.
Gayunpaman, may kasamang babala ang numerong iyon. Ayon sa isang Dune dashboard na ginawa ng analyst na si Marcov, halos $1.3 milyon sa fees na iyon ay direktang nagmula sa mga trade na may kaugnayan sa TRU token ng Truebit.
Tinanggal na ngayon ni Marcov ang mga halagang iyon mula sa live dashboard dahil ang halaga ng token ay bumagsak na sa zero at hindi na makukuha at magagamit upang i-burn ang UNI.
Gusto mo bang makita ang iyong proyekto sa harap ng pinakamahuhusay na isip sa crypto? I-feature ito sa aming susunod na industry report, kung saan nagtatagpo ang data at epekto.
