La 9 ianuarie 2026, Truebit a dezvăluit un incident sever de securitate în care o vulnerabilitate din contractul său inteligent a fost exploatată pentru a sustrage aproximativ 8.535 ETH, evaluat la aproximativ 26,6 milioane de dolari la momentul încălcării. Exploatarea viza logica de stabilire a prețului a protocolului în funcția getPurchasePrice, permițând atacatorului să emită tokenuri TRU fără costuri și să le convertească înapoi în ETH printr-un mecanism de curbă de bonding, epuizând rezervele contractului într-un ciclu rapid de cumpărare-vânzare.
Canalele oficiale ale Truebit au confirmat incidentul într-o postare pe X: „Astăzi am devenit conștienți de un incident de securitate care implică unul sau mai mulți actori malițioși. Contractul inteligent afectat este 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 și sfătuim publicul cu fermitate să nu interacționeze cu acest contract până la noi dispoziții. Suntem în contact cu autoritățile.”
Analiza on-chain realizată de anchetatori specializați în blockchain, precum Lookonchain, a relevat că suma totală extrasă a depășit soldul inițial marcat, indicând că mai multe tranzacții au fost folosite pentru a masca amploarea furtului. Datele PeckShield au confirmat că majoritatea ETH-ului furat a fost consolidată într-o singură adresă înainte ca porțiunile să fie direcționate prin Tornado Cash pentru a ascunde urmele. Atacatorul a efectuat, de asemenea, o extragere secundară de tokenuri TRU în valoare de aproximativ 300.000 USD.
Reacția pieței a fost imediată și severă. Conform datelor Nansen, prețul TRU a scăzut de la aproape 0,16 USD la o fracțiune de cent, eliminând practic aproape întreaga valoare de piață în mai puțin de 24 de ore. Volumul de tranzacționare a explodat pe măsură ce au avut loc vânzări de panică, iar mulți deținători nu au putut să-și vândă pozițiile la orice preț.
Această încălcare marchează unul dintre cele mai mari exploatări DeFi din începutul anului 2026, după incidente semnificative în ultimul trimestru din 2025, cum ar fi exploatarea cu tokenul fals al Flow și hack-ul extensiei Chrome a Trust Wallet. În ciuda unei scăderi generale a pierderilor din hacking — de la 194 milioane USD în noiembrie 2025 la 76 de milioane USD în decembrie — atacuri de mare profil continuă să evidențieze vulnerabilități persistente în codul contractelor inteligente și necesitatea auditurilor de securitate riguroase.
Echipa de dezvoltare a Truebit a oprit toate contractele aferente, a demarat o investigație internă și a angajat experți forensici terți pentru a efectua un post-mortem tehnic complet. Eforturile de a negocia recuperarea parțială a fondurilor furate sunt în desfășurare, deși natura descentralizată a încălcării și utilizarea mixerelor de confidențialitate complică urmărirea și recuperarea. Între timp, utilizatorii și dezvoltatorii reevaluează practicile de gestionare a riscului pentru protocoalele DeFi, subliniind importanța auditurilor formale, a programelor de bug bounty și a mecanismelor de actualizare cu blocare în timp pentru a atenua exploatările viitoare.
Comentarii (0)