Токен Truebit обвалюється на 99,9% після того, як хакер викрав 26,6 мільйона доларів у ефірі

Токен TRU платформи Truebit впав майже на 100% у четвер після того, як через експлойт було викрадено близько 8 535 ефірів, вартістю приблизно $26,6 мільйона, з резервів протоколу, згідно з даними onchain та незалежними дослідниками.

Truebit, проєкт на базі Ethereum, що займається верифікацією та обчисленнями, заявив про те, що «усвідомлює інцидент безпеки, пов’язаний з одним або декількома шкідливими акторами», додавши, що він контактує з правоохоронними органами та вживає заходів для вирішення ситуації.

Аналітики блокчейну з Lookonchain оцінили розмір крадіжки у 8 535 ETH. Дослідник Вейлін Лі пов’язав атаку з недоліком у старішому смарт-контракті, розгортаному близько п’яти років тому, де функція емісії могла повертати ціну покупки рівну нулю при надзвичайно великій покупці токенів.

Це дозволило зловмиснику багаторазово купувати TRU практично безкоштовно, а потім одразу продавати його назад у резерв кривої зв’язку, щоб вивести ефір.

Незалежний дослідник onchain «n0b0dy» охарактеризував потік як серію циклів купівлі та продажу, що експлуатували неправильне ціноутворення під час зміни балансу резервів, поступово виснажуючи пул. За повідомленнями, залучений гаманець виплатив невелику хабара «білдеру» для пріоритетного виконання транзакцій.

Експлойт призвів до майже повного краху TRU, при цьому токен обвалився на 99,9% через зникнення ліквідності та масовий вихід власників.

Інцидент є черговим нагадуванням про те, що старі контракти можуть залишатися вразливими до атак навіть після того, як вони втратять увагу.

Навіть якщо поточний код протоколу оновлено, застарілі розгортання та забута логіка ціноутворення все одно можуть бути ціллю, якщо вони мають вартість або пов’язані із резервами.

Truebit ще не опублікував повний звіт про інцидент і не підтвердив, чи були призупинені контракти, що постраждали.