Exploatarea Truebit de 26 milioane dolari: O analiză a defecțiunilor contractului inteligent
Truebit a pierdut 26 de milioane de dolari din cauza unei erori de contract inteligent
Truebit a suferit o exploatare de 26 milioane dolari, după ce o eroare de tip overflow în contractul său inteligent a permis unui atacator să emită tokenuri la un cost aproape zero, ceea ce a dus la o scădere de 99% a prețului tokenului TRU.
Atacatorul a profitat de o lacună în logica contractului inteligent al protocolului, care le-a permis să emită „cantități masive de tokenuri fără a plăti ETH”, conform unei analize post-mortem publicate de compania de securitate blockchain SlowMist. „Din cauza lipsei protecției împotriva overflow-ului într-o operațiune de adunare a numerelor întregi, contractul de achiziție al Truebit Protocol a generat un rezultat incorect la calcularea cantității de ETH necesare pentru emiterea tokenurilor TRU”, au declarat reprezentanții SlowMist.
Calculările de preț ale contractului inteligent au fost „reducute greșit la zero”, ceea ce a permis atacatorului să epuizeze rezervele contractului prin emiterea tokenurilor în valoare de 26 milioane dolari „la un cost aproape inexistent”. De asemenea, este important de menționat că contractul a fost compilat cu Solidity 0.6.10, iar versiunea anterioară nu includea verificările automate de overflow, ceea ce a dus la rezultate incorecte atunci când se depășea valoarea maximă de „uint256”.
Exploatarea evidențiază riscurile de securitate care persistă chiar și în proiectele blockchain mai vechi, având în vedere că Truebit a fost lansat pe rețeaua principală Ethereum acum aproape cinci ani, în aprilie 2021.
O analiză anuală a SlowMist a arătat că vulnerabilitățile contractelor inteligente au reprezentat cel mai mare vector de atac în industria criptomonedelor în 2025, cu 56 de incidente de securitate, în timp ce compromiterea conturilor s-a plasat pe locul doi, cu 50 de incidente.
