Em 9 de janeiro de 2026, a Truebit divulgou um grave incidente de segurança no qual uma vulnerabilidade em seu contrato inteligente foi explorada para desviar cerca de 8.535 ETH, avaliados em aproximadamente US$ 26,6 milhões no momento da violação. A exploração visou a lógica de precificação do protocolo na função getPurchasePrice, permitindo que o atacante mintasse tokens TRU sem custo e os convertesse de volta em ETH por meio de um mecanismo de curva de bonding, esgotando as reservas do contrato em um rápido ciclo de compra e venda.
Os canais oficiais da Truebit confirmaram o incidente em uma postagem no X: “Hoje, tomamos conhecimento de um incidente de segurança envolvendo um ou mais atores mal-intencionados. O contrato inteligente afetado é 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 e aconselhamos fortemente ao público a não interagir com este contrato até novo aviso. Estamos em contato com as autoridades policiais.”
Uma análise em cadeia, realizada por investigadores de blockchain como Lookonchain, revelou que a quantia total desviada excedeu o saldo inicialmente sinalizado, indicando que várias transações foram usadas para ocultar a extensão total do furto. Dados da PeckShield confirmaram que a maior parte do ETH roubado foi consolidada em um único endereço antes de porções serem encaminhadas pelo Tornado Cash para ocultar a trilha. O atacante também realizou uma segunda drenagem de tokens TRU no valor de aproximadamente US$ 300.000.
A reação do mercado foi imediata e severa. De acordo com dados da Nansen, o preço do TRU despencou de perto de US$ 0,16 para uma fração de centavo, varrendo virtualmente quase todo o valor de mercado em menos de 24 horas. O volume de negociação disparou à medida que o pânico tomava conta, com muitos detentores incapazes de desfazer suas posições a qualquer preço.
Essa violação marca um dos maiores exploits DeFi do início de 2026, seguindo incidentes significativos no final de 2025, como o golpe com token falsificado da Flow e o hack da extensão Chrome da Trust Wallet. Apesar de uma queda mais ampla nas perdas totais de hacks — de US$ 194 milhões em novembro de 2025 para US$ 76 milhões em dezembro — hacks de alto perfil continuam a evidenciar vulnerabilidades persistentes no código de contratos inteligentes e a necessidade de auditorias de segurança rígidas.
A equipe de desenvolvimento da Truebit pausou todos os contratos relacionados, iniciou uma investigação interna e contratou peritos forenses independentes para realizar uma auditoria técnica completa post mortem. Esforços para negociar uma recuperação parcial dos fundos roubados estão em andamento, embora a natureza descentralizada da violação e o uso de mixers de privacidade compliquem rastrear e recuperar os fundos. Enquanto isso, usuários e desenvolvedores estão reavaliando as práticas de gestão de risco para protocolos DeFi, enfatizando a importância de auditorias formais, programas de recompensa por bugs e mecanismos de atualização com bloqueio de tempo para mitigar futuros exploits.
Comentários (0)