Compra criptomonedas
Pagar con
USD
USD
Compra y venta
HOT
Compra y vende criptomonedas a travésde Apple Pay, tarjetas, Google Pay, transferencias bancarias y más
P2P
0 Fees
¡Cero tarifas, más de 400 opciones de pago y compra y venta de criptomonedas sin complicaciones!
Gate Card
Tarjeta de pago con criptomonedas que permite efectuar transacciones internacionales fácilmente
Mercados
Operar
Básico
Avanzado
Futuros
Futuros
Cientos de contratos liquidados en USDT o BTC
Opciones
HOT
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Comienzo del trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Participa en eventos para ganar generosas recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Earn
Lanzamiento
CandyDrop
tag
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
NEW
¡Opera con activos on-chain y recibe recompensas por airdrop!
Puntos de futuros
NEW
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Comunidad
Square
Gate Fun
Comparte tu publicación y mantente al tanto de las criptomonedas y mucho más
En vivo
moments live
Análisis del mercado de criptomonedas en tiempo real
Chat
Chatea con traders de criptomonedas
Noticias
Lo que está ocurriendo en el mundo de las criptomonedas
Más
Promociones
Guía para principiantes
giveaways
Centro de Recompensas
Plaza
Más recientes
Populares
Noticias
Perfil

Análisis en profundidad del incidente de vulnerabilidad de Truebit: cómo un desbordamiento de enteros permitió a un hacker acuñar monedas por valor de 26,44 millones de dólares sin coste alguno

链上狗哥vip

1月8日,计算验证平台Truebit遭受重大安全事件。慢雾安全团队的分析报告揭露了这起事件的真相:攻击者通过利用Purchase合约中的整数溢出漏洞,以接近零成本的方式铸造TRU代币,随后窃取了8,535枚以太坊,价值约2,644万美元。更令人担忧的是,黑客已在1月10-11日期间通过Tornado Cash完成了全部资金洗钱,使得追回变得几乎不可能。这不仅是一笔巨大的经济损失,更是对整个智能合约生态安全意识的一次严峻考验。

漏洞的本质:被遗忘的保护机制

什么是整数溢出

整数溢出是一种常见但危险的智能合约漏洞。简单来说,当数值计算超出其数据类型能表示的最大范围时,系统会自动"回卷"到最小值。举个例子,如果一个8位无符号整数的最大值是255,当你试图让它加1时,结果就会变成0。

在Truebit的Purchase合约中,这个漏洞被利用来进行价格计算。攻击者通过精心构造的交易参数,使得价格计算发生溢出,最终导致系统以极低的价格(接近零)允许铸造TRU代币。这相当于攻击者在一个本应需要支付数百万美元的操作中,只花了几乎没有成本就完成了。

为什么会出现这个漏洞

根据慢雾的分析,根本原因是Truebit的合约缺少溢出保护机制。这个问题在Solidity编程语言中是一个经典的安全隐患。

Solidity版本 溢出保护 建议做法
0.8.0之前 无内置保护 必须使用SafeMath库
0.8.0及以后 内置保护 可以直接使用算术操作

Truebit使用的是Solidity 0.8.0之前的版本编译合约,这意味着所有算术操作都需要通过SafeMath库来进行保护。但显然,在Price计算的某个环节,这层保护被遗漏了。

攻击路径和市场反应

黑客的作案过程

根据相关资讯监测,这次攻击的执行过程高效得令人震惊:

  • 第一步:识别漏洞,构造恶意交易
  • 第二步:以极低成本铸造大量TRU代币
  • 第三步:利用铸造的代币从Truebit的资金池中提取ETH
  • 第四步:快速转移资金至混币地址
  • 第五步:通过Tornado Cash完成洗钱(1月10-11日完成)

整个过程从发现漏洞到资金洗白,耗时不足72小时。黑客的专业程度和执行速度表明这可能不是一次随意的尝试,而是有针对性的预谋攻击。

市场的担忧信号

这次事件在市场上引发了明显的负面反应。根据最新数据,ETH当前价格为3,102.47美元,近期呈现弱势:24小时下跌0.03%,7天下跌2.14%。虽然跌幅不算剧烈,但更深层的问题是投资者对计算验证协议(Computation Verification Protocol)这一类项目的安全性产生了质疑。

Truebit是L2生态中重要的计算验证基础设施。它的安全事件不仅打击了项目本身的信心,更引发了整个行业对"我们还有多少类似的隐患"的担忧。

行业启示:这不是个别事件

SafeMath为什么如此关键

慢雾在报告中明确建议:对于所有使用Solidity 0.8.0之前版本编译的合约,必须始终使用SafeMath库来保护所有算术操作。这不是一个可选项,而是必须的基本防线。

SafeMath库的作用很简单但很关键:它在每次算术操作时都检查是否会发生溢出,如果会就直接revert交易。这看似多余的步骤,却能防止像Truebit这样的灾难。

审计的盲点问题

有意思的是,Truebit作为一个融资充足、技术实力不弱的项目,其合约应该经历过安全审计。但这次漏洞仍然被遗漏了。这反映出一个行业问题:

  • 审计团队可能过度依赖自动化工具
  • 对旧版本Solidity的特殊风险认识不足
  • 代码审查的深度不够

这意味着即使项目经过审计,也不能100%保证安全。

混币器的持续威胁

Tornado Cash在这个事件中再次扮演了"资金黑洞"的角色。黑客在转入混币器后,资金就几乎不可能被追踪和冻结。这也是为什么这次8,535 ETH的损失被认为"几乎不可能追回"。

这提示我们,即使抓住了黑客的钱包地址,如果他们及时转入混币器,后续的执法也会陷入困境。

总结

Truebit事件本质上是一个被遗忘的基础防护导致的灾难。8,535 ETH和2,644万美元的损失是表面,更深层的问题是:

  • 版本选择很重要:使用旧版本Solidity需要额外的安全意识和防护
  • SafeMath不是选项:而是必须的基本防线
  • 审计不是万能的:需要更深度的代码审查和风险评估
  • 快速响应至关重要:黑客转移资金的速度提示我们需要更敏捷的应急机制

对于整个行业来说,这是一次成本高昂的教训。但如果能推动更严格的安全标准、更深入的审计流程、更谨慎的版本选择,这个代价也许不会完全白付。

TRU-2,51%
ETH-0,38%
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
  • Recompensa
  • Comentar
  • Republicar
  • Compartir
Comentar
0/400
Sin comentarios

  • Anclado

Mapa del sitio
Opera con criptomonedas en cualquier momento y lugar
qrCode
Escanea para descargar la aplicación de Gate
Comunidad
Español
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Acerca de nosotrosEmpleoSala de prensaPatrocinador de Oracle Red Bull RacingSocio oficial del Inter de MilánAcuerdo de usuarioAdvertencia de riesgosPolítica de privacidadPolítica de cookiesKit de mediosPrueba de ReservasLicenciaSeguridadGateToken (GT)GUSDGate ChainEventos de GateAplicación de la leyCumbresGate Ventures
    P2PConversión y trading en bloquesTrading de spotTrading de futurosAccionesAlphaMargenTokens apalancadosNFTGate PayGate LifeTarjeta de regaloGate OTCGate CharityTienda GateWeb3Gate Perp DEXGate Vault
    Ventajas VIPInstitucionalComentarios de los usuariosAnuncioTarifasAyudaEnviar una solicitudListadoSeguridad de los contratos inteligentesDesarrolladoresBúsqueda de verificaciónSolicitud de comerciante P2PPrograma de afiliadosCalendario criptoSolución de interoperabilidad de Gate
    Gate LearnCursos de criptomonedasGlosario sobre criptomonedasPrecios de criptomonedasMacrodatosReducción a la mitad del bitcoinActualización de Ethereum (ETH)CriptopediaCalculadora cripto