Pada 9 Januari 2026, Truebit mendedahkan insiden keselamatan yang teruk di mana kerentanan dalam kontrak pintarnya telah dieksploitasi untuk mengalirkan kira-kira 8,535 ETH, bernilai kira-kira $26.6 juta pada masa pelanggaran berlaku. Eksploit itu mensasarkan logik penentuan harga protokol dalam fungsi getPurchasePrice, membolehkan penyerang mencipta token TRU tanpa kos dan menukarnya semula kepada ETH melalui mekanisme kurva pengikatan, menghabiskan rizab kontrak dalam kitaran beli-jual yang pantas.
Saluran rasmi Truebit mengesahkan kejadian itu dalam satu hantaran di X: “Hari ini, kami mendapat makluman mengenai insiden keselamatan yang melibatkan satu atau lebih pelaku jahat. Kontrak pintar yang terjejas ialah 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 dan kami amat menasihati orang ramai agar tidak berinteraksi dengan kontrak ini sehingga arahan lanjut dikeluarkan. Kami sedang berhubung dengan pihak berkuasa.”
Analisis on-chain daripada penyiasat blockchain seperti Lookonchain mendedahkan bahawa jumlah wang yang dicuri melebihi baki yang pada mulanya ditandakan, menunjukkan bahawa beberapa transaksi telah digunakan untuk menyembunyikan skop penuh kecurian. Data PeckShield mengesahkan bahawa kebanyakan ETH yang dicuri telah dihimpunkan ke alamat tunggal sebelum bahagian-bahagian dialirkan melalui Tornado Cash untuk mengaburkan jejak. Penyerang juga melaksanakan penyedotan kedua token TRU bernilai kira-kira $300,000.
Reaksi pasaran adalah segera dan teruk. Menurut data Nansen, harga TRU merudum daripada hampir $0.16 kepada sebahagian sen, secara efektif menghapuskan hampir semua nilai pasaran dalam masa kurang daripada 24 jam. Volum dagangan melonjak apabila jualan panik berlaku, dengan ramai pemegang tidak mampu menjual kedudukan pada mana-mana harga.
Pelanggaran ini menandakan salah satu eksploit DeFi terbesar pada awal 2026, mengikuti kejadian penting pada lewat 2025 seperti eksploit token palsu Flow dan serangan terhadap pelanjutan Chrome Trust Wallet. Walaupun terdapat penurunan lebih luas dalam jumlah kerugian hack—daripada $194 juta pada November 2025 kepada $76 juta pada Disember—serangan berprofil tinggi terus menekankan kerentanan berterusan dalam kod kontrak pintar dan keperluan audit keselamatan yang ketat.
Pasukan pembangunan Truebit telah memberhentikan semua kontrak berkaitan, memulakan siasatan dalaman, dan melibatkan pakar forensik pihak ketiga untuk menjalankan analisis pasca kejadian teknikal yang lengkap. Usaha untuk merunding pemulihan sebahagian daripada dana yang dicuri sedang dijalankan, walaupun sifat desentralisasi pelanggaran dan penggunaan mixer privasi mempersulit penjejakan dan pemulihan. Sementara itu, pengguna dan pembangun sedang menilai semula amalan pengurusan risiko untuk protokol DeFi, menekankan kepentingan audit formal, program ganjaran pepijat, dan mekanisme peningkatan berjadual yang dikunci masa untuk mengurangkan eksploit di masa hadapan.
Komen (0)