Ecco come è avvenuto l'hack di Truebit

L'azienda di sicurezza blockchain SlowMist ha condiviso il suo rapporto di audit sull'attacco informatico che ha prosciugato 26 milioni di dollari dal Protocollo Truebit. 

Secondo il rapporto, la causa principale dell'attacco è stata che l'operazione di addizione nel numeratore del calcolo del prezzo del contratto di acquisto non utilizzava la libreria SafeMath per la protezione dall'overflow. 

Come è avvenuto l'attacco a Truebit? 

Il rapporto di audit di SlowMist ha rivelato che il contratto di Truebit è stato compilato con Solidity 0.6.10 e l'operatore nativo + non include controlli di overflow. L'attaccante è riuscito a causare così tanti danni creando un importo di mint specifico, che ha fatto sì che l'operazione di addizione superasse il valore massimo di uint256 e si azzerasse. 

La funzione ha reso il prezzo = 0, consentendo il mint di token a costo quasi zero e l'arbitraggio, di cui l'hacker ha rapidamente approfittato per prosciugare 8.535 ETH (~26,44 milioni di dollari). Il rapporto si è concluso con un consiglio del team SlowMist. 

"Il team di sicurezza SlowMist raccomanda che per i contratti compilati con versioni di Solidity inferiori a 0.8.0, gli sviluppatori dovrebbero assicurarsi che tutte le operazioni aritmetiche siano protette utilizzando la libreria SafeMath per prevenire vulnerabilità logiche causate da overflow di interi", si legge. 

Il team Truebit ha riconosciuto l'attacco, identificando lo smart contract (contratto intelligente) interessato e consigliando al pubblico di evitare di interagire con esso fino a nuovo avviso. 

"Siamo in contatto con le forze dell'ordine e stiamo adottando tutte le misure disponibili per affrontare la situazione. Condivideremo aggiornamenti attraverso i nostri canali ufficiali non appena disponibili", hanno dichiarato. 

Un giorno dopo, il team ha affermato di stare lavorando duramente per affrontare l'incidente e di aver "impiegato risorse aggiuntive per rafforzare il tracciamento e il recupero", promettendo aggiornamenti attraverso i canali ufficiali.

Nella sezione commenti del post, i membri della comunità hanno offerto vari passi successivi al team, con la maggioranza che affermava che il protocollo era diventato inutilizzabile, che era improbabile recuperare i fondi e che era necessario ammetterlo. 

I commentatori hanno notato che il recupero completo potrebbe essere impossibile. 

Il token $TRU è ancora in calo del 100% con variazione percentuale zero e praticamente nessun volume di trading segnalato sulle principali piattaforme dall'attacco, il che riflette una completa mancanza di fiducia nel potenziale del progetto di riprendersi.

L'attacco a Truebit ha dato a Uniswap una breve spinta 

Cryptopolitan ha riferito l'8 gennaio che Uniswap ha registrato oltre 1,4 milioni di dollari in entrate giornaliere da commissioni di trading, il più alto che la piattaforma abbia mai registrato dalla sua fondazione. 

Tuttavia, quel numero record è arrivato con una precisazione. Secondo una dashboard Dune creata da un analista di nome Marcov, quasi 1,3 milioni di dollari di quelle commissioni provenivano direttamente da operazioni relative al token TRU di Truebit. 

Marcov ha ora filtrato quei valori dalla dashboard live perché il valore del token è sceso a zero e non verrà richiesto e utilizzato per bruciare UNI.

Non limitarti a leggere le notizie sulle criptovalute. Comprendile. Iscriviti alla nostra newsletter. È gratuita.