Pada 9 Januari 2026, Truebit mengungkap insiden keamanan yang serius di mana sebuah kerentanan pada kontrak pintarnya dieksploitasi untuk menarik sekitar 8.535 ETH, bernilai sekitar $26,6 juta pada saat pelanggaran. Eksploit tersebut menargetkan logika harga protokol dalam fungsi getPurchasePrice, memungkinkan penyerang untuk mencetak token TRU tanpa biaya dan mengubahnya kembali menjadi ETH melalui mekanisme kurva bonding, sehingga menguras cadangan kontrak dalam siklus beli-jual yang cepat.
Kanal resmi Truebit mengonfirmasi insiden tersebut dalam sebuah postingan di X: “Hari ini, kami menjadi sadar adanya insiden keamanan yang melibatkan satu atau lebih aktor jahat. Kontrak pintar yang terdampak adalah 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 dan kami sangat menyarankan publik untuk tidak berinteraksi dengan kontrak ini hingga pemberitahuan lebih lanjut. Kami sedang berhubungan dengan aparat penegak hukum.”
Analisis on-chain oleh penyelidik blockchain seperti Lookonchain mengungkapkan bahwa jumlah total yang dicuri melebihi saldo yang pada awalnya ditandai, menunjukkan bahwa beberapa transaksi digunakan untuk menyamarkan lingkup penuh pencurian. Data PeckShield mengonfirmasi bahwa sebagian besar ETH yang dicuri telah dipusatkan ke satu alamat sebelum sebagian dari dananya dialirkan melalui Tornado Cash untuk mengaburkan jejak. Penyerang juga melakukan pengurasan sekunder terhadap token TRU senilai sekitar $300.000.
Respon pasar berlangsung cepat dan sangat kuat. Menurut data Nansen, harga TRU turun dari sekitar $0,16 menjadi kurang dari satu sen, secara efektif menghapus hampir semua nilai pasar dalam waktu kurang dari 24 jam. Volume perdagangan melonjak karena penjualan panik, dan banyak pemegang tidak dapat menjual posisi mereka pada harga berapapun.
Pelanggaran ini menandai salah satu eksploitasan DeFi terbesar pada awal 2026, mengikuti insiden signifikan pada akhir 2025 seperti eksploitas token tiruan Flow dan peretasan ekstensi Chrome Trust Wallet. Meskipun terjadi penurunan yang lebih luas dalam total kerugian hack—dari $194 juta pada November 2025 menjadi $76 juta pada Desember—hack berprofil tinggi terus menekankan kerentanan yang persisten dalam kode kontrak pintar dan perlunya audit keamanan yang ketat.
Tim pengembangan Truebit telah menghentikan semua kontrak terkait, memulai penyelidikan internal, dan melibatkan ahli forensik pihak ketiga untuk melakukan post-mortem teknis secara menyeluruh. Upaya untuk menegosiasikan pemulihan sebagian dana yang dicuri masih berlangsung, meskipun sifat terdesentralisasi pelanggaran dan penggunaan mixer privasi menyulitkan pelacakan dan pemulihan. Sementara itu, pengguna dan pengembang sedang menilai kembali praktik manajemen risiko untuk protokol DeFi, menekankan pentingnya audit formal, program bug bounty, dan mekanisme peningkatan waktu-terkunci untuk memitigasi eksploit berikutnya.
Komentar (0)