چگونه هک Truebit رخ داد

سازمان امنیت بلاکچین SlowMist گزارش حسابرسی خود را در مورد هک که 26 میلیون دلار از پروتکل Truebit را تخلیه کرد، به اشتراک گذاشت. 

طبق گزارش، علت اصلی حمله این بود که عملیات جمع در صورت محاسبه قیمت قرارداد خرید از کتابخانه SafeMath برای محافظت در برابر سرریز استفاده نکرده بود. 

هک Truebit چگونه اتفاق افتاد؟ 

گزارش حسابرسی SlowMist نشان داد که قرارداد Truebit با Solidity 0.6.10 کامپایل شده بود و اپراتور بومی + شامل بررسی سرریز نمی‌شود. مهاجم توانست با ایجاد مقدار مشخصی از ضرب، خسارات زیادی وارد کند که باعث شد عملیات جمع از حداکثر مقدار uint256 فراتر رود و به دور بزند. 

این تابع باعث شد قیمت = 0 شود و امکان ضرب توکن با هزینه نزدیک به صفر و آربیتراژ را فراهم کرد که هکر به سرعت از آن استفاده کرد و 8,535 ETH (حدود 26.44 میلیون دلار) را تخلیه کرد. گزارش با توصیه تیم SlowMist پایان یافت. 

"تیم امنیتی SlowMist توصیه می‌کند که برای قراردادهایی که با نسخه‌های Solidity زیر 0.8.0 کامپایل شده‌اند، توسعه‌دهندگان باید اطمینان حاصل کنند که تمام عملیات حسابی با استفاده از کتابخانه SafeMath محافظت می‌شوند تا از آسیب‌پذیری‌های منطقی ناشی از سرریز اعداد صحیح جلوگیری شود." 

تیم Truebit هک را تایید کرده، قرارداد هوشمند آسیب‌دیده را شناسایی کرده و به عموم توصیه کرده است تا اطلاع ثانوی از تعامل با آن خودداری کنند. 

"ما با مجریان قانون در تماس هستیم و تمام اقدامات موجود را برای رسیدگی به این وضعیت انجام می‌دهیم. ما به‌روزرسانی‌ها را از طریق کانال‌های رسمی خود به اشتراک خواهیم گذاشت به محض اینکه در دسترس باشند." 

یک روز بعد، تیم ادعا کرد که برای رسیدگی به این حادثه تلاش می‌کند و "منابع اضافی را برای تقویت ردیابی و بازیابی" به کار گرفته است، در حالی که وعده به‌روزرسانی از طریق کانال‌های رسمی را داد.

در بخش نظرات پست، اعضای جامعه مراحل بعدی مختلفی را به تیم پیشنهاد دادند، با اکثریتی که ادعا می‌کردند پروتکل غیرقابل استفاده شده، بعید است که بتوانند وجوه را بازیابی کنند و باید آن را بپذیرند. 

تفسیرگران اشاره کرده‌اند که بازیابی کامل ممکن است غیرممکن باشد. 

توکن $TRU هنوز 100٪ کاهش دارد با تغییر درصد صفر و عملاً هیچ حجم معاملاتی در پلتفرم‌های اصلی از زمان هک گزارش نشده است که نشان‌دهنده فقدان کامل اعتماد به پتانسیل پروژه برای بازگشت است.

هک Truebit به Uniswap رونق کوتاه‌مدتی داد 

Cryptopolitan در 08 ژانویه گزارش داد که Uniswap بیش از 1.4 میلیون دلار درآمد حاصل از کارمزد معاملات روزانه را ثبت کرد که بالاترین رقمی است که پلتفرم از زمان تأسیس خود ثبت کرده است. 

با این حال، آن رقم رکورد با یک هشدار همراه بود. طبق داشبورد Dune ایجاد شده توسط تحلیلگری به نام Marcov، نزدیک به 1.3 میلیون دلار از آن کارمزدها مستقیماً از معاملات مرتبط با توکن TRU Truebit حاصل شد. 

Marcov اکنون آن مقادیر را از داشبورد زنده فیلتر کرده است زیرا ارزش توکن به صفر رسیده و ادعا و برای سوزاندن UNI استفاده نخواهد شد.

فقط اخبار کریپتو را نخوانید. آن را درک کنید. در خبرنامه ما مشترک شوید. رایگان است.