Децентрализованный протокол вычислений Truebit стал жертвой сложной атаки на смарт-контракт 8 января 2026 года. Злоумышленникам удалось вывести около 8 535 ETH, что эквивалентно примерно $26,44 млн. Анализ инцидента командой SlowMist выявил критические уязвимости в старых версиях Solidity, подчеркнув риски для экосистемы DeFi.
Truebit использует механизм майнинга и сжигания токенов TRU, позволяя пользователям обменивать ETH на TRU и обратно, поддерживая стабильность цены. Однако ошибка в логике вычисления стоимости токена привела к возможности переполнения при операциях с целыми числами в Solidity 0.6.10. Злоумышленник использовал огромную сумму TRU, вызвав переполнение и получив нулевую цену, что позволило бесплатно «чеканить» токены. Затем он сжигал их, получая значительные объёмы ETH, повторяя цикл до полной истощения резервов.
Похищенные средства были быстро распределены по новым адресам и направлены в миксер Tornado Cash, усложняя отслеживание. SlowMist рекомендует использовать SafeMath во всех арифметических операциях и проводить регулярные аудиты и мониторинг смарт-контрактов.
по материалам
уникальность