Le 9 janvier 2026, Truebit a divulgué un grave incident de sécurité au cours duquel une vulnérabilité de son contrat intelligent a été exploitée pour siphonner environ 8 535 ETH, évalués à environ 26,6 millions de dollars au moment de la violation. L'exploitation a ciblé la logique de tarification du protocole dans la fonction getPurchasePrice, permettant à l'attaquant de minter des jetons TRU sans coût et de les reconvertir en ETH via un mécanisme de courbe de bonding, épuisant les réserves du contrat au cours d'un rapide cycle achat-vente.
Les canaux officiels de Truebit ont confirmé l'incident dans un message sur X : « Aujourd'hui, nous avons pris connaissance d'un incident de sécurité impliquant un ou plusieurs acteurs malveillants. Le contrat intelligent concerné est 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 et nous recommandons vivement au public de ne pas interagir avec ce contrat jusqu'à nouvel ordre. Nous sommes en contact avec les autorités compétentes. »
Une analyse en chaîne réalisée par des experts en traçage de blockchain tels que Lookonchain a révélé que le montant total siphonné dépassait le solde initialement signalé, indiquant que plusieurs transactions ont été utilisées pour masquer l'ampleur réelle du vol. Les données de PeckShield ont confirmé que la majeure partie des ETH volés a été consolidée sur une seule adresse avant que des portions ne soient acheminées via Tornado Cash pour brouiller les traces. L'attaquant a également procédé à un second prélèvement de jetons TRU d'une valeur d'environ 300 000 dollars.
La réaction du marché a été immédiate et sévère. Selon les données de Nansen, le prix du TRU est passé d'environ 0,16 $ à une fraction de cent, effaçant pratiquement toute la valeur marchande en moins de 24 heures. Le volume des échanges a bondi alors qu'une vente panique s'installait, de nombreux détenteurs étant incapables de se départir de leurs positions à n'importe quel prix.
Cette violation marque l'un des plus importants exploits DeFi du début de 2026, après des incidents notables à la fin de 2025 tels que l'exploitation d'un jeton contrefait de Flow et le piratage de l'extension Chrome Trust Wallet. Malgré un recul plus large des pertes totales dues aux piratages — passant de 194 millions de dollars en novembre 2025 à 76 millions de dollars en décembre — les piratages de haut niveau continuent de souligner les vulnérabilités persistantes du code des contrats intelligents et la nécessité d'audits de sécurité rigoureux.
L'équipe de développement de Truebit a suspendu tous les contrats liés, lancé une enquête interne et fait appel à des experts forensiques tiers pour mener une analyse technique post-mortem complète. Les efforts visant à négocier une récupération partielle des fonds volés sont en cours, bien que la nature décentralisée de la brèche et l'utilisation de mixers de confidentialité compliquent le traçage et la récupération. Par ailleurs, les utilisateurs et les développeurs réévaluent les pratiques de gestion des risques pour les protocoles DeFi, en insistant sur l'importance des audits formels, des programmes de récompense de bugs et des mécanismes de mise à niveau à verrouillage temporel afin d'atténuer les futures exploits.
Commentaires (0)