Il 9 gennaio 2026, Truebit ha reso noto un grave incidente di sicurezza in cui una vulnerabilità nel suo contratto intelligente è stata sfruttata per sottrarre circa 8.535 ETH, valutati a circa 26,6 milioni di dollari al momento della violazione. L'exploit ha preso di mira la logica di pricing del protocollo nella funzione getPurchasePrice, permettendo all'attaccante di emettere token TRU a costo zero e convertirli di nuovo in ETH attraverso un meccanismo a curva di bonding, esaurendo rapidamente le riserve del contratto in un rapido ciclo di acquisto e vendita.
I canali ufficiali di Truebit hanno confermato l'incidente in un post su X: “Oggi siamo venuti a conoscenza di un incidente di sicurezza che coinvolge uno o più attori malintenzionati. Il contratto intelligente interessato è 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 e sconsigliamo vivamente al pubblico di interagire con questo contratto fino a nuovo avviso. Siamo in contatto con le forze dell'ordine.”
Analisi on-chain da parte di esperti della blockchain come Lookonchain ha rivelato che l'importo totale drenato ha superato il saldo inizialmente segnalato, indicando che sono state utilizzate più transazioni per mascherare l'entità completa del furto. I dati di PeckShield hanno confermato che la maggior parte degli ETH rubati è stata consolidata in un unico indirizzo prima che porzioni venissero instradate attraverso Tornado Cash per offuscare la traccia. L'attaccante ha anche eseguito un drenaggio secondario di token TRU per un valore di circa 300.000 dollari.
La reazione del mercato è stata immediata e severa. Secondo i dati di Nansen, il prezzo di TRU è crollato da quasi 0,16 dollari a una frazione di centesimo, cancellando praticamente tutto il valore di mercato in meno di 24 ore. Il volume di scambio è aumentato vertiginosamente, poiché è seguita un'ondata di vendite paniche, con molti detentori impossibilitati a liberarsi delle posizioni a qualsiasi prezzo.
Questa violazione segna uno dei più grandi exploit DeFi all'inizio del 2026, a seguito di importanti incidenti nella parte finale del 2025, come l'exploit del token contraffatto di Flow e l'hack dell'estensione Chrome di Trust Wallet. Nonostante un calo più ampio delle perdite totali dovute a hack — da 194 milioni di dollari a novembre 2025 a 76 milioni di dollari a dicembre — hack di alto profilo continuano a sottolineare vulnerabilità persistenti nel codice degli smart contract e la necessità di audit di sicurezza rigorosi.
Il team di sviluppo di Truebit ha sospeso tutti i contratti correlati, avviato un'indagine interna e coinvolto esperti forensi terzi per condurre un'analisi post-mortem completa dal punto di vista tecnico. Gli sforzi per negoziare un recupero parziale dei fondi rubati sono in corso, anche se la natura decentralizzata della violazione e l'uso di mixer di privacy complicano la tracciabilitĂ e il recupero. Nel frattempo, utenti e sviluppatori stanno rivalutando le pratiche di gestione del rischio per i protocolli DeFi, sottolineando l'importanza di audit formali, programmi bug bounty e meccanismi di aggiornamento temporizzati per mitigare futuri exploit.
Commenti (0)