慢霧:Truebit 協議被黑原因是整數加法缺乏溢出保護,導致價格計算錯誤
深潮 TechFLOW 消息,1 月 12 日,據慢霧消息,Truebit 協議於 1 月 8 日遭遇安全漏洞攻擊。 攻擊者利用其 Purchase 合約中的整數溢出漏洞,以幾乎為零的成本鑄造 $TRU 代幣,並竊取了 8,535 枚 $ETH(約合 2,644 萬美元)。
事件根本原因是整數加法缺乏溢出保護,導致價格計算錯誤。 慢霧團隊建議,對於使用 SOLidity 0.8.0 版本以下編譯的合約,應始終使用 SafeMath 庫保護所有算術運算,防止與溢出相關的邏輯缺陷。
