9. ledna 2026 Truebit zveřejnilo vážný bezpečnostní incident, při němž byla zneužita zranitelnost ve smart kontraktu a odčerpáno asi 8 535 ETH, v té době oceněných zhruba na 26,6 milionu dolarů. Exploit cílil logiku oceňování protokolu v funkci getPurchasePrice, což umožnilo útočníkovi mintovat TRU tokeny zdarma a převést je zpět na ETH prostřednictvím mechanismu bonding curve, čímž došlo k rychlému vyčerpání rezerv kontraktu v cyklu nákupu a prodeje.
Oficiální kanály Truebitu potvrdily incident v příspěvku na X: „Dnes jsme se dozvěděli o bezpečnostním incidentu, do kterého byli zapojeni jeden nebo více škodlivých aktérů. Zasažený smart kontrakt je 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 a důrazně doporučujeme veřejnosti s tímto kontraktem do odvolání nijak neinteragovat. Jsme v kontaktu se státními orgány.“
On‑chain analýzy od blockchainových vyšetřovatelů, jako je Lookonchain, ukázaly, že celková částka odčerpaná přesáhla původně označený zůstatek, což naznačuje, že bylo použito více transakcí k maskování rozsahu loupeže. Data PeckShield potvrdila, že většina ukradeného ETH byla konsolidována do jedné adresy, než byly části převedeny přes Tornado Cash, aby se stopa zakryla. Útočník také provedl sekundární vyčerpání TRU tokenů v hodnotě přibližně 300 000 dolarů.
Reakce trhu byla okamžitá a výrazná. Podle dat Nansen cena TRU klesla zhruba z 0,16 USD na zlomek centu, což prakticky smazalo téměř veškerou tržní hodnotu během méně než 24 hodin. Objem obchodů prudce vzrostl, protože nastala panická prodejní vlna, a mnoho držitelů nebylo schopno své pozice prodat za žádnou cenu.
Tento průnik patří k jednomu z největších útoků DeFi na počátku roku 2026, navazující na významné incidenty koncem roku 2025, jako byla zneužití napodobeného tokenu Flow a hack rozšíření Trust Wallet pro Chrome. Navzdory širšímu poklesu celkových ztrát z hackerských útoků — z 194 milionů USD v listopadu 2025 na 76 milionů USD v prosinci — významná hacknutí nadále zdůrazňují trvalé zranitelnosti v kódu chytrých kontraktů a potřebu důkladných bezpečnostních auditů.
Tým vývoje Truebitu pozastavil všechna související kontrakty, zahájil interní vyšetřování a angažoval externí forenzní experty k provedení kompletní technické rekonstrukce po události. Pokusy o částečné navrácení ukradených prostředků nadále pokračují, ačkoli decentralizovaná povaha narušení a používání privacy mixerů ztěžují dohledání a obnovení prostředků. Mezitím uživatelé a vývojáři přehodnocují rizikové postupy pro DeFi protokoly a zdůrazňují význam formálních auditů, programů odměn za chyby a mechanismů časově uzamčených upgradeů, aby se minimalizovaly budoucí útoky.
Komentáře (0)