Así fue como ocurrió el hackeo de Truebit

La empresa de seguridad blockchain SlowMist compartió su informe de auditoría del contrato inteligente sobre el hackeo que drenó $26 millones del Protocolo Truebit. 

Según el informe de auditoría del contrato inteligente, la causa raíz del ataque fue que la operación de adición en el numerador del cálculo de precio del contrato de compra no utilizó la biblioteca SafeMath para la protección contra desbordamiento. 

¿Cómo ocurrió el hackeo de Truebit? 

El informe de auditoría del contrato inteligente de SlowMist reveló que el contrato de Truebit fue compilado con Solidity 0.6.10, y el operador nativo + no incluye verificaciones de desbordamiento. El atacante pudo causar tanto daño al crear una cantidad específica de acuñación, que desencadenó que la operación de adición excediera el valor máximo de uint256 y diera la vuelta. 

La función hizo que el Precio = 0, permitiendo la acuñación de tokens y arbitraje a casi cero costo, lo que el hacker aprovechó rápidamente para drenar 8.535 ETH (~$26,44 millones). El informe de auditoría del contrato inteligente terminó con un consejo del equipo de SlowMist. 

"El equipo de seguridad de SlowMist recomienda que para contratos compilados con versiones de Solidity por debajo de 0.8.0, los desarrolladores deben asegurarse de que todas las operaciones aritméticas estén protegidas usando la biblioteca SafeMath para prevenir vulnerabilidades lógicas causadas por desbordamientos de enteros," se leía. 

El equipo de Truebit ha reconocido el hackeo, identificando el Smart Contract afectado y aconsejando al público que evite interactuar con él hasta nuevo aviso. 

"Estamos en contacto con las autoridades y tomando todas las medidas disponibles para abordar la situación. Compartiremos actualizaciones a través de nuestros canales oficiales a medida que estén disponibles," afirmaron. 

Un día después, el equipo afirmó estar trabajando arduamente para abordar el incidente y que había "contratado recursos adicionales para fortalecer el rastreo y la recuperación," mientras prometía actualizaciones a través de canales oficiales.

En la sección de comentarios de la publicación, los miembros de la comunidad ofrecieron varios pasos siguientes al equipo, con una mayoría afirmando que el protocolo se había vuelto inutilizable, que era poco probable que recuperaran los fondos y que necesitaban admitirlo. 

Los comentaristas han señalado que la recuperación completa podría ser imposible. 

El token $TRU sigue bajando 100% con cero cambio porcentual y prácticamente sin volumen de trading reportado en las principales plataformas desde el hackeo, lo que refleja una completa falta de fe en el potencial del proyecto para recuperarse.

El hackeo de Truebit dio a Uniswap un impulso breve 

Cryptopolitan informó el 8 de enero que Uniswap registró más de $1,4 millones en ingresos de captura de comisiones de trading diarias, lo más alto que la plataforma ha registrado desde que se estableció. 

Sin embargo, ese número récord vino con una advertencia. Según un panel de Dune creado por un analista llamado Marcov, casi $1,3 millones de esas comisiones provinieron directamente de operaciones relacionadas con el token TRU de Truebit. 

Marcov ahora ha filtrado esos valores del panel en vivo porque el valor del token ha caído a cero y no será reclamado ni usado para quemar UNI.

No solo leas noticias cripto. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.