El 9 de enero de 2026, Truebit reveló un grave incidente de seguridad en el que se explotó una vulnerabilidad de su contrato inteligente para desviar aproximadamente 8.535 ETH, valorados en alrededor de 26,6 millones de dólares en el momento de la brecha. La explotación apuntó a la lógica de tarificación del protocolo en la función getPurchasePrice, permitiendo al atacante acuñar tokens TRU sin coste y convertirlos de vuelta a ETH mediante un mecanismo de curva de bonding, agotando rápidamente las reservas del contrato en un ciclo rápido de compra-venta.
Los canales oficiales de Truebit confirmaron el incidente en una publicación en X: “Hoy hemos tomado conocimiento de un incidente de seguridad que involucra a uno o varios actores maliciosos. El contrato inteligente afectado es 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 y recomendamos encarecidamente al público no interactuar con este contrato hasta nuevo aviso. Estamos en contacto con las autoridades.”
Análisis en cadena realizado por investigadores de blockchain como Lookonchain reveló que la cantidad total drenada superó el saldo inicialmente señalado, lo que indica que se utilizaron múltiples transacciones para ocultar el alcance total del robo. Los datos de PeckShield confirmaron que la mayor parte del ETH robado se consolidó en una sola dirección antes de que las porciones fueran enrutadas a través de Tornado Cash para ocultar el rastro. El atacante también ejecutó un segundo drenaje de tokens TRU por un valor de aproximadamente 300.000 dólares.
La reacción del mercado fue inmediata y severa. Según datos de Nansen, el precio de TRU cayó desde cerca de 0,16 USD a una fracción de centavo, borrando prácticamente casi todo el valor de mercado en menos de 24 horas. El volumen de operaciones se disparó debido a ventas por pánico, y muchos tenedores no pudieron deshacerse de sus posiciones a ningún precio.
Esta brecha marca uno de los mayores ataques de DeFi a principios de 2026, tras incidentes significativos a finales de 2025, como el ataque con token falsificado de Flow y el hack de la extensión Chrome de Trust Wallet. A pesar de una caída más amplia en las pérdidas totales por hack desde 194 millones de dólares en noviembre de 2025 a 76 millones en diciembre, los hackeos de alto perfil siguen subrayando vulnerabilidades persistentes en el código de contratos inteligentes y la necesidad de auditorías de seguridad rigurosas.
El equipo de desarrollo de Truebit ha pausado todos los contratos relacionados, iniciado una investigación interna y contratado a expertos forenses externos para realizar una autopsia técnica completa. Los esfuerzos para negociar una recuperación parcial de los fondos robados continúan, aunque la naturaleza descentralizada de la brecha y el uso de mezcladores de privacidad complican rastrear y recuperar los fondos. Mientras tanto, usuarios y desarrolladores están reevaluando las prácticas de gestión de riesgos para los protocolos DeFi, enfatizando la importancia de auditorías formales, programas de recompensas por errores y mecanismos de actualización con bloqueo temporal para mitigar futuros ataques.
Comentarios (0)