Eis como aconteceu o hack da Truebit

A empresa de segurança blockchain SlowMist partilhou o seu relatório de auditoria sobre o hack que drenou 26 milhões de dólares do Protocolo Truebit. 

De acordo com o relatório, a causa raiz do ataque foi que a operação de adição no numerador do cálculo de preço do contrato de compra não utilizou a biblioteca SafeMath para proteção contra overflow. 

Como aconteceu o hack do Truebit? 

O relatório de auditoria da SlowMist revelou que o contrato do Truebit foi alegadamente compilado com Solidity 0.6.10, e o operador nativo + não inclui verificações de overflow. O atacante conseguiu causar tanto estrago ao criar um montante de cunhagem específico, que desencadeou a operação de adição para exceder o valor máximo de uint256 e voltar ao início. 

A função fez com que o Preço = 0, permitindo cunhagem de tokens com custo quase zero e arbitragem, o que o hacker rapidamente aproveitou para drenar 8.535 ETH (~26,44 milhões de dólares). O relatório terminou com um conselho da equipa SlowMist. 

"A equipa de segurança da SlowMist recomenda que para contratos compilados com versões do Solidity abaixo de 0.8.0, os programadores devem garantir que todas as operações aritméticas estão protegidas usando a biblioteca SafeMath para prevenir vulnerabilidades lógicas causadas por overflows de inteiros," dizia o relatório. 

A equipa Truebit reconheceu o hack, identificando o contrato inteligente afetado e aconselhando o público a evitar interagir com ele até novo aviso. 

"Estamos em contacto com as autoridades e a tomar todas as medidas disponíveis para abordar a situação. Partilharemos atualizações através dos nossos canais oficiais assim que estiverem disponíveis," afirmaram. 

Um dia depois, a equipa alegou estar a trabalhar arduamente para resolver o incidente e que tinha "envolvido recursos adicionais para fortalecer o rastreamento e recuperação," prometendo atualizações através dos canais oficiais.

Na secção de comentários da publicação, membros da comunidade ofereceram vários próximos passos à equipa, com a maioria a afirmar que o protocolo se tinha tornado inutilizável, que era improvável que recuperassem os fundos e precisavam de admitir isso. 

Comentadores notaram que a recuperação total poderia ser impossível. 

O token $TRU ainda está em baixa de 100% com zero de alteração percentual e praticamente nenhum volume de negociação reportado nas principais plataformas desde o hack, o que reflete uma completa falta de confiança no potencial do projeto recuperar.

Hack do Truebit deu breve impulso ao Uniswap 

A Cryptopolitan reportou a 8 de janeiro que o Uniswap registou mais de 1,4 milhões de dólares em receita diária de captura de taxas de negociação, o mais alto que a plataforma alguma vez registou desde que foi estabelecida. 

No entanto, esse número recorde veio com uma ressalva. De acordo com um painel Dune criado por um analista chamado Marcov, quase 1,3 milhões de dólares dessas taxas vieram diretamente de negociações relacionadas com o token TRU do Truebit. 

Marcov agora filtrou esses valores do painel ao vivo porque o valor do token caiu para zero e não será reclamado e usado para queimar UNI.

Não se limite a ler notícias sobre cripto. Compreenda-as. Subscreva a nossa newsletter. É gratuita.