Op 9 januari 2026 maakte Truebit bekend over een ernstig beveiligingsincident waarbij een kwetsbaarheid in zijn slimme contract werd uitgebuit om ongeveer 8.535 ETH af te troggelen, gewaardeerd op ongeveer $26,6 miljoen ten tijde van de inbraak. De exploit richtte zich op de prijslogica van het protocol in de getPurchasePrice-functie, waardoor de aanvaller TRU-tokens kon minten tegen nul kosten en deze via een bonding-curve-mechanisme kon terug converteren naar ETH, waardoor de reserves van het contract in een snelle koop- en verkoopcyclus werden uitgeput.

De officiële kanalen van Truebit hebben het incident bevestigd in een bericht op X: “Vandaag zijn wij op de hoogte gebracht van een beveiligingsincident waarbij een of meer kwaadwillende actoren betrokken zijn. Het getroffen slimme contract is 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 en adviseren het publiek ten zeerste om niet met dit contract te interageren totdat nader bericht volgt. We hebben contact met de wetshandhaving.”

On-chain-analyse van blockchain-speurders zoals Lookonchain toonde aan dat het totale bedrag dat was onttrokken hoger was dan het aanvankelijke gemelde saldo, wat erop wijst dat meerdere transacties zijn gebruikt om de volledige omvang van de diefstal te verhullen. PeckShield-gegevens bevestigden dat het grootste deel van de gestolen ETH was geconsolideerd in één adres voordat delen via Tornado Cash werden omgeleid om het spoor te verduisteren. De aanvaller voerde ook een tweede onttrekking uit van TRU-tokens ter waarde van ongeveer $300.000.

De marktreactie was onmiddellijk en ernstig. Volgens gegevens van Nansen daalde de TRU-prijs van bijna $0,16 naar een fractie van een cent, waardoor vrijwel alle marktwaarde binnen minder dan 24 uur werd uitgewist. Het handelsvolume steeg terwijl paniekverkopen plaatsvonden, waarbij veel houders niet in staat waren posities tegen welke prijs dan ook af te stoten.

Deze inbraak markeert een van de grootste DeFi-exploits van het begin van 2026, volgend op significante incidenten eind 2025 zoals Flow’s vervalsings-token-exploit en de hack van de Trust Wallet Chrome-extensie. Ondanks een bredere daling in het totaal aan hack-verliezen — van $194 miljoen in november 2025 tot $76 miljoen in december — blijven hacks met een hoog profiel de aanhoudende kwetsbaarheden in smart contract-code benadrukken en de noodzaak van rigoureuze beveiligingsaudits.

Het ontwikkelingsteam van Truebit heeft alle gerelateerde contracten gepauzeerd, een intern onderzoek gestart en derden-forensische experts ingeschakeld om een volledige technische post-mortem uit te voeren. De pogingen om een gedeeltelijk herstel van de gestolen fondsen te onderhandelen zijn gaande, hoewel de gedecentraliseerde aard van de inbreuk en het gebruik van privacy-mixers het traceren en terugvinden bemoeilijken. Ondertussen heroverwegen gebruikers en ontwikkelaars risicobeheerpraktijken voor DeFi-protocollen, met de nadruk op het belang van formele audits, bug-bounty-programma's en tijdvergrendelde upgrade-mechanismen om toekomstige exploits te beperken.