Según el informe, la causa raíz del ataque fue que la operación de suma en el numerador del cálculo de precios del contrato Purchase no utilizó la librería SafeMath para proteger contra desbordamientos.
¿Cómo ocurrió el hackeo de Truebit?
El informe de auditoría de SlowMist reveló que el contrato de Truebit fue compilado con Solidity 0.6.10, y el operador nativo + no incluye comprobaciones de desbordamiento. El atacante pudo causar tanto daño al crear una cantidad específica de minting, lo que provocó que la suma excediera el valor máximo de uint256 y se reiniciara.
La función hizo que el Price = 0, permitiendo el minting de tokens a casi costo cero y posibilitando el arbitraje, lo cual el hacker aprovechó rápidamente para drenar 8.535 ETH (~26,44 millones de dólares). El informe finalizó con consejos del equipo de SlowMist.
“El equipo de seguridad de SlowMist recomienda que para contratos compilados con versiones de Solidity inferiores a la 0.8.0, los desarrolladores aseguren que todas las operaciones aritméticas estén protegidas usando la librería SafeMath para evitar vulnerabilidades lógicas causadas por desbordamientos de enteros”, se lee en el informe.
El equipo de Truebit ha reconocido el hackeo, identificando el smart contract afectado y aconsejando al público no interactuar con él hasta nuevo aviso.
“Estamos en contacto con las autoridades y tomando todas las medidas disponibles para abordar la situación. Compartiremos actualizaciones a través de nuestros canales oficiales a medida que estén disponibles”, afirmaron.
Un día después, el equipo afirmó estar trabajando arduamente para abordar el incidente y que había “sumado recursos adicionales para fortalecer el rastreo y la recuperación”, prometiendo actualizaciones a través de los canales oficiales.
En la sección de comentarios de la publicación, los miembros de la comunidad ofrecieron varios pasos a seguir al equipo, y la mayoría sostuvo que el protocolo se había vuelto inutilizable, que era poco probable recuperar los fondos y que debían admitirlo.
Algunos comentaristas señalaron que la recuperación total podría ser imposible.
El token $TRU sigue con una caída del 100%, sin cambios porcentuales y prácticamente sin volumen de operaciones reportado en las principales plataformas desde el hackeo, lo que refleja una total falta de confianza en el potencial del proyecto para recuperarse.
El hackeo de Truebit le dio un impulso breve a Uniswap
Cryptopolitan informó el 8 de enero que Uniswap registró más de 1,4 millones de dólares en ingresos diarios por comisiones de trading, el mayor monto que la plataforma ha registrado desde su creación.
Sin embargo, ese récord vino acompañado de una advertencia. Según un dashboard de Dune creado por un analista llamado Marcov, casi 1,3 millones de esos honorarios provinieron directamente de operaciones relacionadas con el token TRU de Truebit.
Marcov ahora ha filtrado esos valores del dashboard en vivo porque el valor del token cayó a cero y no será reclamado ni utilizado para quemar UNI.
¿Querés que tu proyecto llegue a las mentes más destacadas del mundo cripto? Presentalo en nuestro próximo informe de la industria, donde los datos se encuentran con el impacto.
