Взлом протокола Truebit связан с ошибкой вtracцены контракта

Компания SlowMist, специализирующаяся на безопасности блокчейна, опубликовала отчет об аудите взлома, в результате которого из протокола Truebit было выведено 26 миллионов долларов. 

Согласно отчету ,первопричиной атаки стало то, что операция сложения в числителе расчета цены договора купли-продажиtracиспользовала библиотеку SafeMath для защиты от переполнения. 

Как произошёл взлом Truebit? 

В аудиторском отчете SlowMist выяснилось, чтоtracTruebit, как сообщается, был скомпилирован с использованием Solidity 0.6.10, а встроенный оператор + не включает проверки на переполнение. Злоумышленник смог нанести такой ущерб, создав определенное количество монет, что привело к превышению максимального значения uint256 в операции сложения и к циклическому переполнению. 

Эта функция обнулила цену, обеспечив практически нулевую стоимость создания токенов и арбитража, чем хакер быстро воспользовался, чтобы вывести 8535 ETH (примерно 26,44 миллиона долларов). Отчет завершился советами от команды SlowMist. 

«Команда безопасности SlowMist рекомендует разработчикам,tracSolidity версий ниже 0.8.0, обеспечить защиту всех арифметических операций с помощью библиотеки SafeMath, чтобы предотвратить логические уязвимости, вызванные переполнением целых чисел», — говорится в сообщении. 

Команда Truebit подтвердила факт взлома,dentзатронутый смарт-контрактtracпосоветовала общественности воздержаться от взаимодействия с ним до дальнейшего уведомления. 

«Мы поддерживаем связь с правоохранительными органами и принимаем все доступные меры для урегулирования ситуации. Мы будем сообщать о новых данных через наши официальные каналы по мере их поступления», — заявили они. 

Днём позже команда заявила, что прилагает все усилия для урегулированияdent и что она «задействовала дополнительные ресурсы для усиления tracи восстановления», пообещав при этом предоставлять обновления по официальным каналам.

В комментариях к публикации участники сообщества предложили команде различные дальнейшие шаги, при этом большинство утверждало, что протокол стал непригодным для использования, что вернуть средства маловероятно, и что им необходимо это признать. 

Комментаторы отмечают, что полное выздоровление может оказаться невозможным. 

Токен $TRU по-прежнему упал на 100%, не изменившись в процентном отношении, и практически не зафиксировано объемов торгов на основных платформах с момента взлома, что отражает полное отсутствие веры в потенциал проекта к восстановлению.

Взлом Truebit ненадолго дал толчок развитию Uniswap 

Cryptopolitan сообщило , что Uniswap зафиксировал ежедневный доход от комиссий за торговлю в размере более 1,4 миллиона долларов, что является самым высоким показателем за всю историю платформы с момента ее создания. 

Однако эта рекордная цифра сопровождалась оговоркой. Согласно данным панели мониторинга Dune , созданной аналитиком по имени Марков, почти 1,3 миллиона долларов из этих комиссионных поступили непосредственно от сделок, связанных с токеном TRU компании Truebit. 

Марков теперь отфильтровал эти значения из панели мониторинга в реальном времени, поскольку стоимость токена упала до нуля и не будет востребована и использована для сжигания UNI.