A empresa de segurança blockchain SlowMist compartilhou seu relatório de auditoria sobre o hack que esvaziou 26 milhões de dólares do Protocolo Truebit.
De acordo com o relatório, a causa raiz do ataque foi que a operação de adição no numerador do cálculo de preço do contrato de compra não utilizou a biblioteca SafeMath para proteção contra estouro.
Como aconteceu o hack do Truebit?
O relatório de auditoria da SlowMist revelou que o contrato do Truebit foi supostamente compilado com o Solidity 0.6.10, e o operador nativo + não inclui verificações de estouro. O atacante foi capaz de causar tamanha destruição ao criar uma quantidade específica de minting, que provocou a operação de adição a exceder o valor máximo de uint256 e fazer um wrap around.
A função fez o Preço = 0, permitindo a mintagem de tokens a custo quase zero e arbitragem, que o hacker rapidamente aproveitou para drenar 8,535 ETH (~$26.44 milhões). O relatório terminou com um conselho da equipe da SlowMist.
“A equipe de segurança da SlowMist recomenda que para contratos compilados com versões do Solidity abaixo de 0.8.0, os desenvolvedores devem garantir que todas as operações aritméticas estejam protegidas usando a biblioteca SafeMath para evitar vulnerabilidades lógicas causadas por estouros de inteiros,” dizia.
A equipe da Truebit reconheceu o hack, identificando o contrato inteligente afetado e aconselhando o público a evitar interagir com ele até novo aviso.
“Estamos em contato com as autoridades e tomando todas as medidas disponíveis para resolver a situação. Compartilharemos atualizações através de nossos canais oficiais assim que estiverem disponíveis,” afirmaram.
Um dia depois, a equipe afirmou estar trabalhando arduamente para resolver o incidente e que havia “mobilizado recursos adicionais para fortalecer o rastreamento e a recuperação,” enquanto prometia atualizações através de canais oficiais.
Na seção de comentários da postagem, membros da comunidade ofereceram várias próximas etapas para a equipe, com a maioria afirmando que o protocolo havia se tornado inutilizável, que era improvável que recuperassem os fundos e que precisavam admitir isso.
Comentadores notaram que a recuperação total poderia ser impossível.
O token $TRU ainda está em queda de 100% com zero de variação percentual e praticamente nenhum volume de negociação relatado nas principais plataformas desde o hack, o que reflete uma completa falta de fé no potencial do projeto para se recuperar.
O hack da Truebit deu um breve impulso à Uniswap.
O Cryptopolitan reportou em 8 de janeiro que a Uniswap registrou mais de $1.4 milhões em receita de captura de taxas de negociação diárias, o maior que a plataforma já registrou desde sua criação.
No entanto, aquele número recorde veio com uma ressalva. De acordo com um painel Dune criado por um analista chamado Marcov, quase $1.3 milhões dessas taxas vieram diretamente de negociações relacionadas ao token TRU da Truebit.
Marcov agora filtrou esses valores do painel ao vivo porque o valor do token caiu para zero e não será reivindicado nem utilizado para queimar UNI.
Não leia apenas notícias de criptomoedas. Entenda-as. Inscreva-se em nosso boletim informativo. É grátis.