2026年1月8日、Ethereumベースの計算検証プロトコルであるTruebitは約2,660万ドル相当が悪用され、8,535 ETHが失われました。事件は、購入機能の価格設定ロジックのバグにより大規模なミント要求に対してコストがゼロとなるという欠陥がある古いスマートコントラクト(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2)を標的としました。この欠陥により悪意のある者は自由にトークンをミントし、それらをボンディングカーブを通じて循環させ、プロトコルのETH準備金を枯渇させました。
TRUネイティブトークンは99%崩壊し、侵害直後に0.1663ドルからほぼゼロ水準まで下落しました。PeckShieldとCyvers Alertsによるオンチェーン分析は、盗まれた資金が2つの主要アドレスに統合され、その後一部がTornado Cashを経由してルーティングされたことを追跡し、痕跡を隠そうとする試みを示しています。
Truebitチームは公式声明を通じてセキュリティインシデントを認識していることを確認し、被害を受けたコントラクトとのやり取りを避けるようユーザーへ勧告しました。彼らは資産の追跡と回収のために米国の法執行機関およびブロックチェーン・フォレンジックス企業と連携しています。予備調査は、誤価格でのミント機能が5年前の展開以来見過ごされていたことを示唆しており、ライブネットワーク上のレガシーコードのリスクを浮き彫りにしています。
セキュリティ専門家は、十分でないユニットテストと継続的な監査の欠如を要因として挙げています。スマートコントラクト監査会社Trail of Bitsは、重要なDeFiプロトコルに対して継続的な監視と形式的検証の重要性を強調しました。この脆弱性は2026年初頭の最大級の単一プロトコル違反の1つであり、時間とともにプロトコルのセキュリティのドリフトに対する懸念を高めています。
この攻撃の時期はDeFiセキュリティ慣行に対する規制当局の監視が強化されている時期と重なっています。米財務省の金融犯罪執行ネットワーク(FinCEN)による最近の指針は、分散型プロトコルに対してより厳格なデューデリジェンスと準備金要件を求めています。業界団体は、同様の事故のリスクを低減するための標準化されたセキュリティ認証の必要性について議論しています。
Truebitのユーザーコミュニティは、ステーキングおよび検証サービス提供者を含め、即時の流動性課題に直面しています。緊急の財政支援を展開し、検証者へのインセンティブを再調整するガバナンス案が検討されています。しかし、コミュニティの感情は慎重で、遡及的な補償と長期的なプロトコルの存続可能性を巡る議論が続いています。
この侵害は、分散型エコシステムにおける積極的なセキュリティ対策の重要性を浮き彫りにしています。また、オンチェーンの透明性と潜在的な脆弱性の敵対的発見の可能性との間のトレードオフを浮き彫りにしています。DeFiセクターはTruebitの対応と、プロトコルリスク管理フレームワーク全体への影響を綿密に監視する予定です。
コメント (0)