Ось як відбувся злом Truebit

Компанія SlowMist з безпеки блокчейну оприлюднила свій звіт про аудит злому, який виснажив 26 мільйонів доларів з Truebit Protocol. 

Згідно зі звітом, основною причиною атаки було те, що операція додавання в чисельнику розрахунку ціни контракту Purchase не використовувала бібліотеку SafeMath для захисту від переповнення. 

Як відбувся злом Truebit? 

Звіт про аудит SlowMist виявив, що смартконтракт Truebit був скомпільований за допомогою Solidity 0.6.10, а вбудований оператор + не включає перевірки переповнення. Зловмисник зміг завдати такої шкоди, створивши певну кількість для майнінгу, яка спричинила перевищення максимального значення uint256 і його зациклення операцією додавання. 

Функція встановила Price = 0, уможлививши майнінг токенів практично без витрат і арбітраж, чим хакер швидко скористався, щоб вивести 8 535 ETH (~26,44 мільйона доларів). Звіт завершився порадою від команди SlowMist. 

"Команда безпеки SlowMist рекомендує, щоб для смартконтрактів, скомпільованих за допомогою версій Solidity нижче 0.8.0, розробники забезпечували захист усіх арифметичних операцій за допомогою бібліотеки SafeMath для запобігання логічним вразливостям, спричиненим цілочисельними переповненнями", – йшлося в ньому. 

Команда Truebit визнала злом, ідентифікувавши порушений смартконтракт і порадивши громадськості уникати взаємодії з ним до подальшого повідомлення. 

"Ми на зв'язку з правоохоронними органами і вживаємо всіх доступних заходів для вирішення ситуації. Ми поділимося оновленнями через наші офіційні канали, коли вони стануть доступними", – заявили вони. 

Через день команда заявила, що наполегливо працює над вирішенням інциденту і що вона "залучила додаткові ресурси для посилення відстеження та відновлення", обіцяючи оновлення через офіційні канали.

У розділі коментарів до публікації члени спільноти запропонували команді різні наступні кроки, при цьому більшість стверджувала, що протокол став непридатним для використання, що малоймовірно, що вони відновлять кошти, і що потрібно це визнати. 

Коментатори зазначили, що повне відновлення може бути неможливим. 

Токен $TRU все ще впав на 100% з нульовою зміною у відсотках і практично без зареєстрованого обсягу торгівлі на основних платформах після злому, що відображає повну відсутність віри в потенціал проєкту відновитися.

Злом Truebit дав Uniswap короткочасне зростання 

Cryptopolitan повідомив 8 січня, що Uniswap зафіксував понад 1,4 мільйона доларів щоденного доходу від комісій за торгівлю, що є найвищим показником, який платформа коли-небудь фіксувала з моменту свого заснування. 

Однак цей рекордний показник мав застереження. Згідно з дашбордом Dune, створеним аналітиком на ім'я Marcov, майже 1,3 мільйона доларів з цих комісій надійшли безпосередньо від угод, пов'язаних з токеном TRU Truebit. 

Marcov тепер відфільтрував ці значення з активного дашборду, оскільки вартість токена впала до нуля і не буде затребувана та використана для спалення UNI.

Не просто читайте криптоновини. Розумійте їх. Підпишіться на нашу розсилку. Це безкоштовно.