Zo gebeurde de Truebit-hack

Het SlowMist blockchain-beveiligingsbedrijf heeft zijn rapport gedeeld over de audit van de hack waarbij $26 miljoen werd gestolen van het Truebit Protocol. 

Volgens het rapport was de hoofdoorzaak van de aanval dat de optelbewerking in de teller van de prijsberekening van het Purchase-contract niet de SafeMath-bibliotheek gebruikte voor overflow-bescherming. 

Hoe vond de Truebit-hack plaats? 

Het auditrapport van SlowMist onthulde dat het contract van Truebit naar verluidt was gecompileerd met Solidity 0.6.10, en de native + operator bevat geen overflow-controles. De aanvaller kon zoveel schade aanrichten door een specifiek mint-bedrag te creëren, wat ervoor zorgde dat de optelbewerking de maximale waarde van uint256 overschreed en omsloeg. 

De functie zorgde ervoor dat Price = 0 werd, waardoor token-minting en arbitrage tegen bijna nul kosten mogelijk werden, wat de hacker snel gebruikte om 8.535 ETH (~$26,44 miljoen) weg te sluizen. Het rapport eindigde met advies van het SlowMist-team. 

"Het SlowMist-beveiligingsteam beveelt aan dat ontwikkelaars voor contracten die zijn gecompileerd met Solidity-versies onder 0.8.0 ervoor moeten zorgen dat alle rekenkundige bewerkingen worden beschermd met behulp van de SafeMath-bibliotheek om logische kwetsbaarheden veroorzaakt door integer-overflows te voorkomen," luidde het. 

Het Truebit-team heeft de hack erkend, het getroffen smart contract geïdentificeerd en het publiek geadviseerd om er niet mee te interageren tot nader order. 

"We zijn in contact met wetshandhavers en nemen alle beschikbare maatregelen om de situatie aan te pakken. We zullen updates delen via onze officiële kanalen zodra deze beschikbaar zijn," beweerden ze. 

Een dag later beweerde het team hard te werken aan het aanpakken van het incident en dat het "extra middelen had ingezet om tracing en herstel te versterken," terwijl het updates beloofde via officiële kanalen.

In het commentaargedeelte van het bericht boden communityleden verschillende volgende stappen aan het team aan, waarbij een meerderheid beweerde dat het protocol onbruikbaar was geworden, dat het onwaarschijnlijk was dat ze de fondsen zouden terugkrijgen, en dat ze dat moesten toegeven. 

Commentatoren hebben opgemerkt dat volledig herstel onmogelijk zou kunnen zijn. 

Het $TRU-token staat nog steeds 100% lager met nul procentuele verandering en vrijwel geen handelsvolume gerapporteerd op alle grote platforms sinds de hack, wat een totaal gebrek aan vertrouwen weerspiegelt in het potentieel van het project om terug te komen.

Truebit-hack gaf Uniswap korte boost 

Cryptopolitan rapporteerde op 8 januari dat Uniswap meer dan $1,4 miljoen aan dagelijkse handelskosteninkomsten registreerde, het hoogste dat het platform ooit heeft geregistreerd sinds de oprichting. 

Dat recordaantal kwam echter met een voorbehoud. Volgens een Dune-dashboard gemaakt door een analist genaamd Marcov, kwam bijna $1,3 miljoen van die kosten rechtstreeks van transacties gerelateerd aan Truebit's TRU-token. 

Marcov heeft die waarden nu uit het live dashboard gefilterd omdat de tokenwaarde naar nul is gedaald en niet wordt geclaimd en gebruikt om UNI te verbranden.

Lees niet alleen cryptonieuws. Begrijp het. Abonneer u op onze nieuwsbrief. Het is gratis.