Согласно отчету, основной причиной атаки стало то, что операция сложения в числителе при расчете цены в контракте Purchase не использовала библиотеку SafeMath для защиты от переполнения.
Как произошел взлом Truebit?
В аудиторском отчете SlowMist говорится, что контракт Truebit был скомпилирован с использованием Solidity 0.6.10, а встроенный оператор + не включает проверки на переполнение. Злоумышленник смог нанести значительный ущерб, подобрав специальную сумму для чеканки, которая привела к превышению максимального значения uint256 при сложении и его переполнению.
В результате функция сделала Price = 0, что позволило практически бесплатно чеканить токены и проводить арбитраж, чем хакер быстро воспользовался, чтобы вывести 8 535 ETH (~26,44 миллиона долларов). В заключение отчета команда SlowMist дала свои рекомендации.
«Команда безопасности SlowMist рекомендует для контрактов, скомпилированных с версиями Solidity ниже 0.8.0, обязательно использовать библиотеку SafeMath для защиты всех арифметических операций и предотвращения логических уязвимостей, вызванных переполнением целых чисел», — говорится в отчете.
Команда Truebit подтвердила факт взлома, определила затронутый смарт-контракт и рекомендовала пользователям воздержаться от взаимодействия с ним до дальнейших уведомлений.
«Мы находимся в контакте с правоохранительными органами и принимаем все возможные меры для решения ситуации. Мы будем делиться обновлениями через наши официальные каналы по мере их появления», — заявили они.
На следующий день команда заявила, что прилагает все усилия для решения инцидента и «привлекла дополнительные ресурсы для усиления отслеживания и восстановления», пообещав дальнейшие обновления через официальные каналы.
В разделе комментариев под публикацией члены сообщества предложили различные дальнейшие шаги команде. Большинство из них считают, что протокол стал непригоден для использования, что маловероятно вернуть средства, и что это нужно признать.
Комментаторы отмечают, что полное восстановление практически невозможно.
Токен $TRU по-прежнему обесценен на 100%: нулевая динамика и практически полное отсутствие торгового объема на ведущих платформах с момента взлома отражают полную утрату доверия к перспективам восстановления проекта.
Взлом Truebit кратковременно поддержал Uniswap
Russian Cryptopolitan сообщил 8 января, что Uniswap зафиксировал рекордные ежедневные комиссионные доходы — свыше 1,4 миллиона долларов, что стало максимальным показателем за всю историю платформы.
Однако этот рекорд сопровождается оговоркой. Согласно дашборду Dune, созданному аналитиком по имени Marcov, почти 1,3 миллиона долларов из этих комиссий были получены непосредственно от сделок, связанных с токеном TRU протокола Truebit.
Marcov уже исключил эти значения из текущего дашборда, поскольку стоимость токена упала до нуля, и они не будут востребованы и использованы для сжигания UNI.
Хотите, чтобы ваш проект увидели ведущие эксперты криптоиндустрии? Разместите его в нашем следующем отраслевом отчете, где данные встречаются с реальным воздействием.
