Šis išnaudojimas panaudojo Truebit kainodaros logikos trūkumą, leisdamas užpuolikui įsisavinti neribotus TRU žetonus ir išeikvoti ETH atsargas.
„Truebit Protocol“ patyrė didelį saugumo pažeidimą, dėl kurio ETH buvo prarasta maždaug 26,5 mln. USD.
Dėl šio incidento taip pat sumažėjo jo gimtojo žetono TRU vertė, kuri per kelias valandas sumažėjo beveik 100%.
Protingas sutarties pažeidimas
„Blockchain“ saugos įmonė „PeckshieldAlert“ pažymėjo apie įvykį per X, pareikšdama, kad „Truebit“ tapo išnaudojimo auka, kai iš vienos iš jos išmaniųjų sutarčių buvo išleista daugiau nei 8 500 ETH, kurios vertė yra maždaug 26,5 mln.
Tinklo duomenys rodo, kad užpuolikas pasinaudojo išmaniosios sutarties kainodaros logikos pažeidžiamumu, leidžiančiu nemokamai kaldinti TRU žetonus. Tada įsilaužėlis ne kartą kaldino ir pardavė žetonus atgal į protokolo susiejimo kreivę, išeikvodamas ETH atsargas per greitą pirkimo-pardavimo ciklą. Nuo to laiko pavogtos lėšos buvo pervestos dviem adresais – 0x2735…cE850a ir 0xD12f…031a6.
Išnaudojimas turėjo tiesioginį poveikį TRU žetonui, todėl jo vertė per kelias valandas sumažėjo beveik 100%, o daugelyje mainų jis liko bevertis.
Rašymo metu „DeFi“ platforma patvirtino, kad ji žino apie saugumo grėsmę, taip pat patarė vartotojams vengti sąveikos su paveikta išmaniąja sutartimi. Komanda dar nepaskelbė viso pomirtinio tyrimo, tačiau pareiškė, kad palaiko ryšius su teisėsauga ir imasi visų būtinų priemonių šiai problemai išspręsti.
„Truebit Breach“, susietas su „Sparkle Attack“.
Įdomu tai, kad „PeckShield“ nustatė, kad „Truebit“ įsilaužėlis yra tas pats asmuo, atsakingas už „Sparkle“ ataką, įvykusią prieš beveik dvi savaites. Tame epizode kaltininkas taip pat pasinaudojo projekto išmaniosios sutarties trūkumu ir nukaldino žetonus už dirbtinai sumažintą kainą, kuris vėliau buvo pakeistas į maždaug 5 ETH. Vėliau pavogtos lėšos buvo nukreiptos per „Tornado Cash“ – privatumo protokolą, dažniausiai naudojamą sandorių pėdsakams paslėpti.
Jums taip pat gali patikti:
Apskritai su kriptovaliutų įsilaužimai pasiekė rekordinį lygį 2025 m., kai buvo pavogta daugiau nei 2,72 mlrd. USD, teigia TRM Labs. Metai prasidėjo apytikriai vasario mėnesį, kai Šiaurės Korėjos įsilaužėliai pavogė 1,5 mlrd.
Šis incidentas lėmė tempą likusiai metų daliai, nes TRM Labs pranešė, kad visame sektoriuje išaugo organizuotesnė ir profesionalesnė įsilaužimo veikla. Tačiau metų pabaigoje tendencija susilpnėjo, o naujausia ataskaita rodo, kad gruodį tokie nuostoliai sumažėjo daugiau nei 60%, palyginti su lapkričio mėn.
SLAPTAS PARTNERYSTĖS BONUSAS „CryptoPotato“ skaitytojams: naudokite šią nuorodą, kad užsiregistruotumėte ir gautumėte 1500 USD išskirtinį „BingX Exchange“ apdovanojimą (pasiūlymas ribotą laiką).
