Am 9. Januar 2026 gab Truebit einen schweren Sicherheitsvorfall bekannt, bei dem eine Schwachstelle in seinem Smart Contract ausgenutzt wurde, um etwa 8.535 ETH abzuziehen, die zum Zeitpunkt des Verstoßes etwa 26,6 Millionen US-Dollar wert waren. Der Exploit zielte auf die Preislogik des Protokolls in der Funktion getPurchasePrice ab, wodurch es dem Angreifer möglich war, TRU-Token kostenlos zu minten und sie durch einen Bonding-Curve-Mechanismus wieder in ETH zu verwandeln, wodurch die Reserven des Vertrags in einem raschen Kauf-Verkauf-Zyklus geleert wurden.
Offizielle Kanäle von Truebit bestätigten den Vorfall in einem Beitrag auf X: „Heute wurden wir auf einen Sicherheitsvorfall aufmerksam, der einen oder mehrere bösartige Akteure betrifft. Der betroffene Smart Contract ist 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2, und wir raten der Öffentlichkeit dringend, nicht mit diesem Contract zu interagieren, bis weitere Informationen vorliegen. Wir stehen in Kontakt mit den Strafverfolgungsbehörden.“
On-Chain-Analysen von Blockchain-Detektiven wie Lookonchain zeigten, dass der insgesamt entwendete Betrag das anfänglich markierte Guthaben überstieg, was darauf hindeutet, dass mehrere Transaktionen genutzt wurden, um das volle Ausmaß des Diebstahls zu verschleiern. PeckShield-Daten bestätigten, dass der Großteil des gestohlenen ETH auf eine einzige Adresse konsolidiert wurde, bevor Teile davon durch Tornado Cash geleitet wurden, um die Spur zu verschleiern. Der Angreifer führte außerdem eine weitere Abführung von TRU-Token im Wert von ca. 300.000 USD durch.
Die Marktreaktion war sofort und heftig. Laut Daten von Nansen sackte der Preis von TRU von fast 0,16 USD auf einen Bruchteil eines Cents ab und verwischte nahezu den gesamten Marktwert in weniger als 24 Stunden. Das Handelsvolumen stieg stark an, während Panikverkäufe folgten, und viele Inhaber nicht in der Lage waren, Positionen zu jedem Preis abzusetzen.
Dieser Verstoß markiert einen der größten DeFi-Exploits Anfang 2026, nach bedeutenden Vorfällen Ende 2025 wie dem Exploit mit Flow’s gefälschten Token und dem Hack der Chrome-Erweiterung von Trust Wallet. Trotz eines insgesamt rückläufigen Ausmaßes an Hack-Verlusten – von 194 Mio. USD im November 2025 auf 76 Mio. USD im Dezember – verdeutlichen hochkarätige Hacks weiterhin die anhaltenden Sicherheitslücken im Smart-Contract-Code und die Notwendigkeit strenger Sicherheitsaudits.
Das Entwicklungsteam von Truebit hat alle zugehörigen Verträge pausiert, eine interne Untersuchung eingeleitet und externe forensische Experten beauftragt, um eine vollständige technische Nachbetrachtung durchzuführen. Bestrebungen, eine teilweise Wiederherstellung der gestohlenen Gelder zu verhandeln, dauern an, obwohl die dezentrale Natur des Verstoßes und der Einsatz von Privacy-Mixern das Nachverfolgen und Zurückholen erschweren. In der Zwischenzeit überprüfen Nutzer und Entwickler ihre Risikomanagement-Praktiken für DeFi-Protokolle erneut und betonen die Bedeutung formeller Audits, Bug-Bounty-Programme und zeitverzögerter Upgrade-Mechanismen, um zukünftige Exploits zu mildern.
Kommentare (0)