損失超過2600萬美元，Truebit Protocol安全事件分析及被盜資金流向追蹤

null

作者：Beosin

1月9日凌晨，Truebit Protocol於5年前部署的未開源合約遭受攻擊，損失8,535.36 ETH（價值約2640萬美元）。Beosin安全團隊對本次安全事件進行了漏洞與資金追蹤分析，並將結果分享如下：

攻擊手法分析

本次事件我們以最主要的一筆攻擊交易作為分析，交易哈希為: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. 攻擊者調用getPurchasePrice()獲取價格

2. 隨後調用存在缺陷的函數0xa0296215()，並將msg.value值設置得極小

由於合約未開源，透過反編譯的程式碼推測該函數是存在算術邏輯漏洞，如整數截斷出現問題，導致攻擊者成功鑄造了大量TRU代幣。

3. 攻擊者透過burn函數將鑄造的代幣“賣回”給合約，從合約儲備中提取了大量 ETH。

此過程再重複4次，每次msg.value值增加，直至將合約中的ETH幾乎全部提取。

被盜資金追蹤

根據鏈上交易數據，Beosin透過旗下區塊鏈鏈上調查與追蹤平台BeosinTrace進行了詳盡的資金追蹤，並將結果分享如下：

目前，被盜的8,535.36 ETH經過轉移，絕大部分分別存放在了0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60和0x273589ca3713e7becf42069f9fb3f0c164ce850a。

其中地址0xd12f持有4,267.09 ETH，地址0x2735持有4,001 ETH。攻擊者發起攻擊的地址（0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50）還存有267.71 ETH，三個地址暫未有更進一步的資金轉移。

被盜資金流向分析圖 by Beosin Trace

以上地址均已被Beosin KYT標記為高風險地址，以攻擊者地址為例：

Beosin KYT

結語

本次被盜資金涉及5年前未開源的智能合約，對於此類合約，項目方應對合約進行升級，引入緊急暫停、參數限制以及新版本的Solidity安全特性。此外，安全審計依然是合約必不可少的環節。透過安全審計，Web3企業可以盡可能全面地檢測智能合約程式碼，發現並修復潛在漏洞，提高合約安全性。

*Beosin將提供本次所有資金流向與地址風險的完整分析報告，歡迎透過官方郵箱support@beosin.com領取。