Інцидент з експлуатацією вразливості протоколу Ethereum Truebit: повний аналіз крадіжки на 26 мільйонів доларів

Ethereum верифікаційний та обчислювальний протокол Truebit у четвер зазнав атаки через вразливість у смарт-контракті, що призвело до втрат понад 26 мільйонів доларів США за одну ніч. Ця серйозна подія безпеки викликала широкий резонанс у криптоспільноті та ще більше підкреслила зростаючі ризики атак на застарілі контракти в галузі. Після розголосу іноземний токен TRU був безжально розпроданий, його ціна миттєво обвалилася з 0.16 долара до майже нуля.

Смарт-контракт, розгорнутий п’ять років тому, став точкою прориву для атаки

Згідно з даними трекінгової платформи Lookonchain, зламано активів на суму до 8 535 ETH, що приблизно дорівнює 26,6 мільйонам доларів США. Незалежний дослідник безпеки Weilin Li за допомогою глибокого аналізу розкрив, що ця уразливість була викликана старим кодом контракту Truebit, розгорнутим п’ять років тому.

Ключовою проблемою стала серйозна недосконалість у механізмі ціноутворення функції «mint» у контракті. Хакери майстерно використали цю вразливість, щоб купити TRU токени за значно нижчою за ринкову ціну. Weilin Li зазначив, що ця атака була здійснена двома хакерами, один з яких отримав прибуток близько 26 мільйонів доларів, а інший — приблизно 250 тисяч доларів.

Офіційний представник Truebit одразу опублікував заяву на платформі X: «Ми виявили інцидент безпеки, що стосується однієї або кількох зловмисних дій. Зараз ми тісно співпрацюємо з правоохоронними органами та вживаємо всіх можливих заходів для реагування на цю ситуацію.»

«Археологічний стиль» стає новою модою для хакерів, кілька DeFi проектів послідовно зазнали атак

Тревожною є тенденція, коли зловмисники починають використовувати новий тип атак — «засипати» старі, але все ще зберігають права доступу, контракти. Weilin Li особливо попередив про цю небезпечну тенденцію, зазначивши, що останнім часом у хакерському середовищі з’явилася «археологічна хвиля», яка полягає у пошуку та атаках на застарілі контракти, що все ще мають контрольні права.

Подібні інциденти безпеки траплялися й раніше. У листопаді минулого року DeFi-протокол Balancer був зламаний через вразливість у смарт-контракті, що призвело до крадіжки понад 120 мільйонів доларів США. Нещодавно повідомлялося про атаки на кілька відомих DeFi-проектів, таких як Bunni, Nemo Protocol, Hyperdrive, Yearn Finance, що свідчить про серйозні проблеми безпеки у цій екосистемі.

Різке падіння ціни токена з подальшим відскоком

Після інциденту TRU зазнав безжальної розпродажу на ринку. За останніми даними, ціна TRU становить 0.01 долара, що вже є відновленням порівняно з моментом події, з 5.49% зростанням за 24 години, але все ще значно нижча за рівень 0.16 долара до інциденту, що свідчить про неповне відновлення довіри до проекту.

Ця подія знову нагадала про важливість — з розширенням DeFi-екосистеми безпека смарт-контрактів та їх регулярне оновлення мають стати пріоритетом кожного проекту. Для інвесторів важливо глибоко аналізувати рік розгортання та стан оновлень контрактів, щоб оцінити рівень ризику.