Kerugian Melebihi $26 Juta, Analisis Insiden Keamanan Truebit Protocol dan Pelacakan Aliran Dana yang Dicuri
Penulis: Beosin
Pada 9 Januari dini hari, kontrak tidak terbuka sumber (unopen-sourced) yang telah diterapkan Truebit Protocol 5 tahun lalu diserang, mengakibatkan kerugian 8.535,36 ETH (senilai sekitar $26,4 juta). Tim keamanan Beosin telah menganalisis kerentanan dan melacak aliran dana, dengan hasil sebagai berikut:
**Analisis Teknik Serangan:**
Serangan memanfaatkan kerentanan logika aritmatika (kemungkinan truncation integer) pada fungsi yang tidak terbuka. Penyerang memanggil `getPurchasePrice()` untuk mendapatkan harga, lalu memanggil fungsi cacat `0xa0296215()` dengan `msg.value` yang sangat kecil. Ini memungkinkan penyerang mencetak sejumlah besar token TRU secara tidak sah. Token ini kemudian "dijual kembali" ke kontrak melalui fungsi `burn`, memungkinkan penyerang menarik sejumlah ETH dari cadangan kontrak. Proses ini diulang beberapa kali hingga hampir semua ETH dalam kontrak berhasil dikuras.
**Pelacakan Dana:**
Melalui platform BeosinTrace, dana yang dicuri sebanyak 8.535,36 ETH dilacak. Sebagian besar dana saat ini disimpan di dua alamat:
- 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (menampung 4.267,09 ETH)
- 0x273589ca3713e7becf42069f9fb3f0c164ce850a (menampung 4.001 ETH)
Alamat penyerang (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) masih menyimpan 267,71 ETH. Semua alamat ini telah ditandai sebagai berisiko tinggi oleh Beosin KYT dan belum ada transfer lebih lanjut.
Kesimpulan: Kejadian ini menyoroti pentingnya audit keamanan, memperbarui kontrak lama, dan menerapkan fitur keamanan seperti fungsi pause darurat dan pembatasan parameter untuk meningkatkan keamanan kontrak pintar.
marsbit01/09 10:48
