根據該報告,此次攻擊的根本原因在於 Purchase 合約的價格計算分子中的加法運算,未使用 SafeMath 函式庫來進行溢位保護。
Truebit 被駭事件是如何發生的?
SlowMist 的審計報告顯示,Truebit 的合約據稱是以 Solidity 0.6.10 編譯的,原生 + 運算符未包含溢位檢查。攻擊者通過精心設計一個鑄造數量,觸發加法運算超過 uint256 的最大值並回繞,從而造成巨大的破壞。
該函數導致 Price = 0,使幾乎零成本鑄幣和套利成為可能,駭客迅速利用這一點盜走了 8,535 ETH(約 2,644 萬美元)。該報告最後給出了 SlowMist 團隊的建議。
「SlowMist 安全團隊建議,對於使用 Solidity 0.8.0 以下版本編譯的合約,開發人員應確保所有算術運算均使用 SafeMath 函式庫進行保護,以防止因整數溢位導致的邏輯漏洞。」報告如此寫道。
Truebit 團隊已經承認此駭客事件,並指出受影響的智能合約,同時建議公眾在進一步通知前避免與該合約互動。
「我們已與執法部門聯繫,並採取一切可用措施來處理此情況。我們將通過官方渠道及時分享更新,」他們表示。
一天後,團隊表示正全力處理此事件,並已「引入更多資源以加強追蹤與資金追回」,同時承諾會通過官方渠道進行更新。
在該貼文的評論區,社群成員向團隊提出了各種後續建議,多數人認為該協議已無法使用,資金恢復的可能性極低,並認為團隊應坦承此點。
評論者認為完全恢復幾乎是不可能的。
自駭客事件以來,$TRU 代幣依舊下跌 100%,無任何百分比變化,主流平台幾乎無交易量,顯示社群對該項目反彈的信心徹底喪失。
Truebit 被駭事件短暫推動了 Uniswap
Cryptopolitan 1 月 8 日報導,Uniswap 當天的日交易費用收入超過 140 萬美元,創下該平台有史以來最高紀錄。
然而,這一紀錄數字存在但書。根據一位名為 Marcov 的分析師建立的 Dune dashboard,其中近 130 萬美元的費用直接來自與 Truebit 的 TRU 代幣相關的交易。
Marcov 現已將這些數值從即時 dashboard 過濾掉,因為該代幣價值已歸零,且不會被申領用來銷毀 UNI。
想讓你的項目被加密貨幣領域頂尖人士看到嗎?在我們下一份產業報告中展示你的項目,讓數據與影響力相遇。
