Вот как произошел взлом Truebit

Компания по безопасности блокчейна SlowMist опубликовала отчет об аудите взлома, в результате которого из протокола Truebit было похищено $26 миллионов. 

Согласно отчету, основной причиной атаки стало то, что операция сложения в числителе расчета цены контракта Purchase не использовала библиотеку SafeMath для защиты от переполнения. 

Как произошел взлом Truebit? 

Отчет об аудите SlowMist показал, что контракт Truebit был скомпилирован с использованием Solidity 0.6.10, а встроенный оператор + не включает проверку переполнения. Злоумышленник смог нанести такой значительный ущерб, создав определенное количество для майнинга, что привело к превышению операцией сложения максимального значения uint256 и зацикливанию. 

Функция установила Price = 0, что позволило осуществлять майнинг токенов практически без затрат и арбитраж, чем хакер быстро воспользовался для кражи 8 535 ETH (~$26,44 миллиона). Отчет завершился рекомендацией от команды SlowMist. 

"Команда безопасности SlowMist рекомендует, чтобы для контрактов, скомпилированных с версиями Solidity ниже 0.8.0, разработчики обеспечивали защиту всех арифметических операций с использованием библиотеки SafeMath для предотвращения логических уязвимостей, вызванных переполнением целых чисел," - говорится в документе. 

Команда Truebit признала взлом, идентифицировала пострадавший смарт контракт и посоветовала общественности избегать взаимодействия с ним до дальнейшего уведомления. 

"Мы находимся в контакте с правоохранительными органами и принимаем все доступные меры для решения ситуации. Мы будем делиться обновлениями через наши официальные каналы по мере их поступления," - заявили они. 

Днем позже команда заявила, что усердно работает над решением инцидента и что она "привлекла дополнительные ресурсы для усиления отслеживания и восстановления", пообещав обновления через официальные каналы.

В разделе комментариев к посту члены сообщества предложили команде различные следующие шаги, при этом большинство утверждало, что протокол стал непригодным для использования, что они вряд ли восстановят средства, и им нужно это признать. 

Комментаторы отметили, что полное восстановление может быть невозможным. 

Токен $TRU по-прежнему упал на 100% с нулевым процентным изменением и практически отсутствующим объемом торговли на основных платформах с момента взлома, что отражает полное отсутствие веры в потенциал проекта восстановиться.

Взлом Truebit дал Uniswap кратковременный подъем 

Cryptopolitan сообщил 8 января, что Uniswap зафиксировал более $1,4 миллиона ежедневного дохода от торговых комиссий, что является самым высоким показателем, который когда-либо регистрировала платформа с момента своего создания. 

Однако эта рекордная цифра сопровождалась оговоркой. Согласно панели Dune, созданной аналитиком по имени Marcov, почти $1,3 миллиона из этих комиссий поступили непосредственно от сделок, связанных с токеном TRU от Truebit. 

Marcov теперь отфильтровал эти значения из активной панели, поскольку стоимость токена упала до нуля и не будет востребована и использована для сжигания UNI.

Не просто читайте криптоновости. Понимайте их. Подпишитесь на нашу рассылку. Это бесплатно.