블록체인 보안 업체 슬로우미스트(SlowMist)는 트루비트 프로토콜(Truebit Protocol)에서 2,600만 달러를 빼돌린 해킹 사건에 대한 감사 보고서를 공개했습니다.
보고서 에 따르면 trac 분자의 덧셈 연산에서 오버플로 방지를 위한 SafeMath 라이브러리를 사용하지 않았기 때문입니다.
트루비트 해킹은 어떻게 발생했나요?
SlowMist의 감사 보고서에 따르면 Truebit의trac은 Solidity 0.6.10으로 컴파일되었으며, 기본 제공되는 + 연산자에는 오버플로 검사가 포함되어 있지 않은 것으로 나타났습니다. 공격자는 특정 발행량을 조작하여 덧셈 연산이 uint256의 최대값을 초과하고 순환 오류를 일으키도록 함으로써 큰 피해를 입힐 수 있었습니다.
해당 함수는 가격을 0으로 설정하여 거의 제로에 가까운 비용으로 토큰을 발행하고 차익 거래를 할 수 있도록 했으며, 해커는 이를 빠르게 악용하여 8,535 ETH(약 2,644만 달러)를 빼돌렸습니다. 보고서는 SlowMist 팀의 조언으로 마무리되었습니다.
"SlowMist 보안팀은 Solidity 버전 0.8.0 미만으로 컴파일된trac의 경우, 개발자는 정수 오버플로로 인한 논리적 취약점을 방지하기 위해 모든 산술 연산이 SafeMath 라이브러리를 사용하여 보호되도록 해야 합니다."라고 명시되어 있습니다.
트루비트 팀은 해킹 사실을 , 영향을 받은 스마트 기기 trac dent , 추가 공지가 있을 때까지 해당 기기와의 상호 작용을 자제할 것을 권고했습니다.
"우리는 사법 당국과 연락을 취하고 있으며 상황을 해결하기 위해 가능한 모든 조치를 취하고 있습니다. 새로운 소식이 나오는 대로 공식 채널을 통해 공유하겠습니다."라고 그들은 밝혔습니다.
하루 뒤, 해당 팀은dent 해결을 위해 열심히 노력하고 있으며 " trac및 복구를 강화하기 위해 추가 자원을 투입했다"고 주장하면서 공식 채널을 통해 추가 소식을 전하겠다고 약속했습니다.
해당 게시물의 댓글란에서 커뮤니티 회원들은 팀에게 다양한 다음 단계 방안을 제시했는데, 대다수는 프로토콜이 더 이상 사용 불가능해졌고, 투자금을 회수할 가능성이 낮으며, 이를 인정해야 한다고 주장했습니다.
평론가들은 완전한 회복이 불가능할 수도 있다고 지적했습니다.
해킹 이후 TRU 토큰은 여전히 100% 하락한 상태이며, 주요 플랫폼에서 거래량도 거의 없고 변동률도 전무한 실정입니다. 이는 프로젝트가 회복될 가능성에 대한 신뢰가 완전히 결여되어 있음을 반영합니다.
Truebit 해킹으로 Uniswap 가격이 잠시 상승했다
Cryptopolitan 보도 에 따르면 유니스왑은 일일 거래 수수료 수익으로 140만 달러 이상을 기록했는데, 이는 플랫폼 설립 이후 최고 기록입니다.
마르코프라는 분석가가 만든 Dune 대시보드 에 따르면
마르코프는 토큰 가치가 0으로 떨어져 UNI소각하는 데 사용되지 않을 것이므로 실시간 대시보드에서 해당 값을 필터링했습니다.
