Le piratage du protocole Truebit est imputé à une erreur de configuration dans le calcul du prix destrac

La société SlowMist, spécialisée dans la sécurité blockchain, a publié son rapport d'audit sur le piratage qui a dérobé 26 millions de dollars au protocole Truebit. 

Selon le rapport, la cause première de l'attaque était que l'opération d'addition au numérateur du calcul du prix du contrat d'achattracpas la bibliothèque SafeMath pour la protection contre les dépassements de capacité. 

Comment le piratage de Truebit a-t-il eu lieu ? 

Le rapport d'audit de SlowMist a révélé que letracde Truebit aurait été compilé avec Solidity 0.6.10, et que l'opérateur + natif ne comporte pas de contrôle de dépassement de capacité. L'attaquant a pu causer d'importants dégâts en définissant un montant de création spécifique, ce qui a provoqué un dépassement de la valeur maximale de uint256 lors de l'addition. 

La fonction a ramené le prix à zéro, permettant ainsi la création de jetons à un coût quasi nul et l'arbitrage, une faille dont le pirate a rapidement profité pour dérober 8 535 ETH (environ 26,44 millions de dollars). Le rapport se terminait par les conseils de l'équipe SlowMist. 

« L’équipe de sécurité de SlowMist recommande que, pour lestraccompilés avec des versions de Solidity inférieures à 0.8.0, les développeurs s’assurent que toutes les opérations arithmétiques sont protégées à l’aide de la bibliothèque SafeMath afin d’éviter les vulnérabilités logiques causées par les dépassements d’entiers », peut-on lire. 

L'équipe Truebit a reconnu le piratage, adentintelligent concernétracet conseille au public d'éviter toute interaction avec celui-ci jusqu'à nouvel ordre. 

« Nous sommes en contact avec les forces de l'ordre et prenons toutes les mesures possibles pour gérer la situation. Nous communiquerons les mises à jour via nos canaux officiels dès qu'elles seront disponibles », ont-ils affirmé. 

Le lendemain, l'équipe a affirmé travailler d'arrache-pied pour régler l'dent et avoir « mobilisé des ressources supplémentaires pour renforcer tracet le rétablissement des contacts », tout en promettant des mises à jour par les voies officielles.

Dans la section commentaires de la publication, les membres de la communauté ont proposé diverses pistes d'action à l'équipe, la majorité affirmant que le protocole était devenu inutilisable, qu'il était peu probable qu'ils récupèrent les fonds et qu'ils devaient l'admettre. 

Des observateurs ont fait remarquer qu'une guérison complète pourrait être impossible. 

Le token $TRU affiche toujours une baisse de 100 %, sans variation de pourcentage et avec un volume d'échanges quasi nul sur les principales plateformes depuis le piratage, ce qui reflète un manque total de confiance dans la capacité du projet à se redresser.

Le piratage de Truebit a brièvement donné un coup de pouce à Uniswap 

Cryptopolitan a rapporté le 8 janvier qu'Uniswap avait enregistré plus de 1,4 million de dollars de revenus quotidiens provenant des frais de transaction, le montant le plus élevé jamais enregistré par la plateforme depuis sa création. 

Ce chiffre record s'accompagne toutefois d'une mise en garde. Selon un tableau de bord Dune créé par un analyste nommé Marcov, près de 1,3 million de dollars de ces frais provenaient directement de transactions liées au jeton TRU de Truebit. 

Marcov a maintenant filtré ces valeurs du tableau de bord en direct car la valeur du jeton est tombée à zéro et ne sera pas réclamée ni utilisée pour brûler UNI.