Le jeton TRU de Truebit a connu une chute libre jeudi après que le protocole ait révélé un incident de sécurité lié à l'un de ses contrats intelligents Ethereum, les traceurs sur la chaîne indiquant un gain d'environ 8 535 ETH, soit environ 26 millions de dollars aux prix récents.
Truebit a indiqué que l'incident impliquait « un ou plusieurs acteurs malveillants » et a informé les utilisateurs qu'il était en contact avec les forces de l'ordre et « prenait toutes les mesures disponibles » en réponse.
L'estimation du vol, citée par des enquêteurs spécialisés dans les cryptomonnaies qui surveillent le protocole, évalue la quantité d'Ether disparue à 8 535 ETH, avec une valeur en dollars proche de 26,6 millions de dollars au moment du rapport.
Pour les traders, le choc s'est rapidement propagé, car les échecs des contrats intelligents sont rarement isolés et se répercutent souvent sur la liquidité, la confiance et les prix à travers les échanges.
Bug de contrat intelligent supposément activé la création gratuite de jetons
Truebit a été conçu pour résoudre l'une des limites fondamentales de la blockchain, à savoir le coût élevé des calculs en chaîne. Il vise à permettre aux applications de vérifier des calculs complexes sans exécuter chaque étape sur Ethereum, en déplaçant la logique lourde hors chaîne tout en maintenant la vérification en chaîne pour les cas d'utilisation avancés de contrats intelligents et de calculs.
Le protocole a signalé une activité malveillante liée à son « Truebit Protocol : Achat » et a conseillé aux utilisateurs d'éviter d'interagir avec l'adresse jusqu'à nouvel ordre.
Les enquêteurs n'ont pas encore vu d'autopsie technique complète. L'analyse sur la chaîne citée dans les rapports a mis en évidence une erreur de logique de tarification dans la fonction getPurchasePrice, où des demandes inhabituellement importantes d'achats auraient supposément retourné un coût nul, permettant à un attaquant d'acheter des jetons gratuitement et de les faire passer à travers une courbe d'attachement pour vider les réserves en ETH.
Les attaquants acheminent l'éther volé via Tornado Cash
Les traces de transactions montraient également un comportement agressif de nettoyage après le vidage, notamment une consolidation vers une adresse principale et le routage d'une grande partie via Tornado Cash, ce genre d'étape qui signale habituellement une planification plutôt qu'un hasard.
Le verdict du marché est venu rapidement. Des enquêteurs en chaîne ont rapporté que le TRU avait chuté de plus de 99 %, les données de Nansen montrant une baisse à environ 0,0000000029 $ contre environ 0,16 $.
L'horodatage alimente également un récit plus large sur la sécurité. PeckShield a récemment déclaré Les pertes totales dues à des piratages et des exploitations de cryptomonnaies ont baissé à environ 76 millions de dollars en décembre par rapport à 194,2 millions de dollars en novembre, une baisse de 60 % qui a néanmoins laissé l'écosystème faire face à une pression constante provenant à la fois des bogues du protocole et des arnaques ciblant les utilisateurs.
Le piratage de PeckShield comprenait une perte de 50 millions de dollars due à un empoisonnement d'adresses et un autre incident lié à une fuite d'une clé privée dans un portefeuille multisig qui a coûté environ 27,3 millions de dollars.
Truebit n'a pas encore précisé en quoi consiste la remédiation, et il demeure incertain ce qui a déclenché l'exploit ainsi que si les fonds des utilisateurs étaient en danger.
Le message Le token Truebit plonge après que le protocole ait confirmé l'exploitation de 26 millions d'Ethereum a été publié(e) pour la première fois sur Cryptonews.