W dniu 8 stycznia 2026 r. Truebit, protokół weryfikacji obliczeń oparty na Ethereum, został wykorzystany w ataku o wartości około 26,6 mln USD, co spowodowało utratę 8 535 ETH. Incydent dotyczył starszego kontraktu inteligentnego (0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), w którym błąd logiki wyceny w funkcji zakupu zwracał zerowy koszt dla dużych próśb o mintowanie. Ta wada umożliwiła złośliwemu podmiotowi swobodne mintowanie tokenów i przepuszczanie ich przez krzywą bonding, co doprowadziło do wyczerpania rezerw ETH protokołu.
Natywny token TRU spadł o 99%, z poziomu 0,1663 USD do niemal zera tuż po naruszeniu. Analiza on-chain przeprowadzona przez PeckShield i Cyvers Alerts wykazała, że skradzione środki zostały skonsolidowane na dwóch głównych adresach, a następnie częściowo kierowane przez Tornado Cash, co wskazuje na próbę zatarcia śladu.
Zespół Truebit potwierdził świadomość incydentu bezpieczeństwa w oficjalnym oświadczeniu, w którym zaleca użytkownikom unikanie interakcji z skompromitowanym kontraktem. Zatrudnili amerykańskie organy ścigania i firmy z zakresu forensyki blockchain, aby śledzić i odzyskać aktywa. Wstępne dochodzenia sugerują, że funkcja mint z błędną wyceną przeszła niezauważona od czasu jej wdrożenia pięć lat temu, co podkreśla ryzyko związane z przestarzałym kodem w działających sieciach.
Eksperci ds. bezpieczeństwa wskazują na niedostateczne testy jednostkowe i brak bieżących audytów jako czynniki przyczyniające się. Audytor kontraktów inteligentnych Trail of Bits podkreślił znaczenie ciągłego monitorowania i formalnej weryfikacji dla kluczowych protokołów DeFi. Ten wyciek stanowi jedno z największych naruszeń pojedynczego protokołu na początku 2026 roku i budzi obawy dotyczące dryfu bezpieczeństwa protokołu z upływem czasu.
Czas ataku pokrywa się z nasilonym nadzorem regulacyjnym nad praktykami bezpieczeństwa DeFi. Ostatnie wytyczne Financial Crimes Enforcement Network (FinCEN) Departamentu Skarbu USA wzywają do surowszej należytej staranności i wymogów rezerw dla zdecentralizowanych protokołów. Grupy branżowe obecnie debatują nad potrzebą standardowych certyfikatów bezpieczeństwa, aby ograniczyć ryzyko podobnych incydentów.
Społeczność użytkowników Truebitu, w tym dostawców usług stakingu i weryfikacji, stoi przed natychmiastowymi problemami płynności. Propozycje zarządzania są rozważane w celu uruchomienia pilnych grantów z rezerwy oraz dostosowania zachęt dla weryfikatorów. Jednak nastroje w społeczności pozostają ostrożne, toczą się debaty na temat retroaktywnych wynagrodzeń i długoterminowej wykonalności protokołu.
To naruszenie uwydatnia kluczowe znaczenie proaktywnych środków bezpieczeństwa w zdecentralizowanych ekosystemach. Wskazuje również na kompromis między przejrzystością na łańcuchu a możliwością wykrycia ukrytych podatności przez potencjalnych przeciwników. Sektor DeFi będzie uważnie monitorować odpowiedź Truebit i szerszy wpływ na ramy zarządzania ryzykiem protokołów.
Komentarze (0)