9 stycznia 2026 roku Truebit ujawnił poważny incydent bezpieczeństwa, w którym luka w jego inteligentnym kontrakcie została wykorzystana do wyprowadzenia około 8 535 ETH, wycenianych na około 26,6 miliona dolarów w momencie naruszenia. Wykorzystanie dotyczyło logiki wyceny protokołu w funkcji getPurchasePrice, umożliwiając napastnikowi mintowanie tokenów TRU za darmo i konwersję ich z powrotem na ETH poprzez mechanizm krzywej bondingowej, co doprowadziło do szybkiego cyklu kupna-sprzedaży i wyczerpania rezerw kontraktu.
Oficjalne kanały Truebit potwierdziły incydent w poście na X: „Dzisiaj dowiedzieliśmy się o incydencie bezpieczeństwa dotyczących jednego lub więcej złośliwych podmiotów. Dotknięty kontrakt inteligentny to 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 i stanowczo prosimy publiczność o nieinterakcję z tym kontraktem do odwołania. Jesteśmy w kontakcie z organami ścigania.”
Analiza on-chain prowadzona przez śledczych blockchain, takich jak Lookonchain, wykazała, że łączna kwota wyłudzona przekroczyła początkowo zgłoszone saldo, co wskazuje na użycie wielu transakcji w celu zamaskowania pełnego zakresu kradzieży. Dane PeckShield potwierdziły, że większość skradzionych ETH została skonsolidowana na jednym adresie, zanim części z nich zostały skierowane przez Tornado Cash w celu zatarcia tropu. Napastnik przeprowadził także wtórny odpływ tokenów TRU o wartości około 300 000 USD.
Reakcja rynku była natychmiastowa i gwałtowna. Według danych Nansen cena TRU spadła z blisko 0,16 USD do ułamka centa, co praktycznie zniweczyło niemal całą wartość rynkową w mniej niż 24 godziny. Obroty handlowe gwałtownie wzrosły, gdy zapadła panika sprzedaży, a wielu posiadaczy nie było w stanie sprzedać swoich pozycji za żadną cenę.
To jedno z największych wycieków DeFi na początku 2026 roku, po znaczących incydentach pod koniec 2025 roku, takich jak atak na podrabiane tokeny Flow i hack rozszerzenia Chrome Trust Wallet. Pomimo ogólnego spadku łącznych strat z tytułu hacków — z 194 milionów USD w listopadzie 2025 do 76 milionów USD w grudniu — wysokoprofilowe hacki nadal podkreślają utrzymujące się luki w kodzie smart kontraktów i potrzebę rygorystycznych audytów bezpieczeństwa.
Zespół deweloperski Truebit wstrzymał wszystkie powiązane kontrakty, wszczął wewnętrzne śledztwo i zaangażował zewnętrznych ekspertów forensycznych do przeprowadzenia pełnego technicznego raportu powypadkowego. Trwają działania mające na celu częściowy odzysk skradzionych środków, choć zdecentralizowany charakter naruszenia i wykorzystanie mixerów prywatności utrudniają śledzenie i odzyskanie. Tymczasem użytkownicy i deweloperzy ponownie oceniają praktyki zarządzania ryzykiem dla protokołów DeFi, podkreślając znaczenie formalnych audytów, programów bug bounty i mechanizmów upgrade'ów z czasowym zamrożeniem, aby zapobiegać przyszłym wyciekom.
Komentarze (0)