نشرت شركة SlowMist المتخصصة في أمن تقنية البلوك تشين تقريرها عن عملية التدقيق التي أدت إلى استنزاف 26 مليون دولار من بروتوكول Truebit.
وبحسب التقرير ، فإن السبب الجذري للهجوم هو أن عملية الجمع في بسط حساب سعر عقد الشراء trac تستخدم مكتبة SafeMath للحماية من تجاوز السعة.
كيف حدث اختراق موقع Truebit؟
كشف تقرير تدقيق شركة SlowMist أنtracTruebit قد تم تجميعه باستخدام Solidity 0.6.10، وأن عامل الجمع الأصلي (+) لا يتضمن فحوصات تجاوز السعة. تمكن المهاجم من إحداث فوضى عارمة من خلال تحديد مبلغ سك معين، مما أدى إلى تجاوز عملية الجمع للقيمة القصوى لـ uint256 والالتفاف حولها.
أدت هذه الوظيفة إلى جعل السعر يساوي صفرًا، مما مكّن من سكّ الرموز بتكلفة شبه معدومة وتحقيق أرباح من المراجحة، وهو ما استغله المخترق سريعًا لسحب 8,535 إيثيريوم (حوالي 26.44 مليون دولار أمريكي). واختُتم التقرير بنصائح من فريق SlowMist.
وجاء في البيان: "يوصي فريق أمن SlowMist بأنه بالنسبةtracالتي تم تجميعها باستخدام إصدارات Solidity الأقل من 0.8.0، يجب على المطورين التأكد من حماية جميع العمليات الحسابية باستخدام مكتبة SafeMath لمنع الثغرات المنطقية الناتجة عن تجاوزات الأعداد الصحيحة".
أقر فريق Truebit بالاختراق ، dent trac الذكي المتأثر ، ونصح الجمهور بتجنب التفاعل معه حتى إشعار آخر.
وأضافوا: "نحن على اتصال مع جهات إنفاذ القانون ونتخذ جميع الإجراءات المتاحة لمعالجة الوضع. وسنشارك التحديثات عبر قنواتنا الرسمية حالما تتوفر".
وبعد يوم واحد، ادعى الفريق أنه يعمل بجد لمعالجةdent وأنه "استعان بموارد إضافية لتعزيز tracوالتعافي"، مع وعد بتقديم تحديثات من خلال القنوات الرسمية.
في قسم التعليقات على المنشور، قدم أعضاء المجتمع خطوات مختلفة للفريق، حيث ادعت الأغلبية أن البروتوكول أصبح غير قابل للاستخدام، وأنه من غير المرجح أن يستردوا الأموال، وأنهم بحاجة إلى الاعتراف بذلك.
وقد أشار المعلقون إلى أن التعافي الكامل قد يكون مستحيلاً.
لا تزال عملة $TRU منخفضة بنسبة 100% مع عدم وجود تغيير في النسبة المئوية تقريبًا وعدم وجود حجم تداول تقريبًا تم الإبلاغ عنه عبر المنصات الرئيسية منذ عملية الاختراق، مما يعكس انعدام الثقة التام في إمكانية تعافي المشروع.
أدى اختراق موقع Truebit إلى تعزيز منصة Uniswap لفترة وجيزة
Cryptopolitan أفادت التقارير في 8 يناير أن منصة Uniswap سجلت أكثر من 1.4 مليون دولار من إيرادات رسوم التداول اليومية، وهو أعلى رقم سجلته المنصة منذ إنشائها.
لكن هذا الرقم القياسي جاء مصحوباً بتحذير. فبحسب لوحة بيانات Dune التي أنشأها محلل يُدعى ماركوف، فإن ما يقرب من 1.3 مليون دولار من تلك الرسوم جاءت مباشرة من عمليات تداول متعلقة برمز TRU الخاص بشركة Truebit.
قام ماركوف الآن بتصفية تلك القيم من لوحة التحكم المباشرة لأن قيمة الرمز المميز انخفضت إلى الصفر ولن يتم المطالبة بها واستخدامها لحرق UNI.
