9 января 2026 года Truebit сообщил о серьёзном инциденте в области безопасности, в результате которого уязвимость в его смарт‑контракте была использована для вывода около 8 535 ETH, стоимость которых на момент взлома составляла примерно 26,6 млн долларов. Уязвимость нацелилась на логику ценообразования протокола в функции getPurchasePrice, позволив злоумышленнику эмитировать токены TRU без каких‑либо затрат и конвертировать их обратно в ETH через механизм кривой связывания цен, что привело к быстрому циклу покупки и продажи и истощению резервов контракта.
Официальные каналы Truebit подтвердили инцидент в сообщении на X: “Сегодня мы узнали о произошедшем инциденте безопасности, затронувшем одного или нескольких злоумышленников. Затронутый смарт‑контракт — 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2, и мы настоятельно советуем публике не взаимодействовать с этим контрактом до дальнейших распоряжений. Мы находимся в контакте с правоохранительными органами.”
Анализ в цепочке, проведённый крипто‑сыщиками вроде Lookonchain, показал, что общая выведенная сумма превысила изначально помеченный баланс, что указывает на применение нескольких транзакций для сокрытия полного масштаба кражи. Данные PeckShield подтвердили, что большая часть украденного ETH была консолидирована на одном адресе перед тем, как части переведены через Tornado Cash для сокрытия следа. Злоумышленник также осуществил вторичный отток токенов TRU на сумму около 300 000 долларов.
Рыночная реакция была немедленной и серьёзной. По данным Nansen, цена TRU упала с около 0,16 доллара до доли цента, фактически стерев почти всю рыночную стоимость менее чем за 24 часа. Объем торгов возрос, развернулась паническая распродажа, и многие держатели не смогли распродать позиции по любой цене.
Этот взлом стал одним из крупнейших DeFi‑эксплойтов начала 2026 года, последовав за значительными инцидентами в конце 2025 года, такими как эксплойт с поддельным токеном Flow и взлом расширения Trust Wallet для Chrome. Несмотря на общее снижение потерь от взломов — с 194 млн долларов в ноябре 2025 года до 76 млн долларов в декабре — громкие взломы продолжают подчёркивать устойчивые уязвимости в коде смарт‑контрактов и необходимость строгих аудитов безопасности.
Команда разработки Truebit остановила все связанные контракты, запустила внутреннее расследование и привлекла сторонних судебно‑экспертных специалистов для проведения полного технического посмертного анализа. Усилия по частичной компенсации украденных средств продолжаются, хотя децентрализованный характер взлома и использование приватных миксеров затрудняют отслеживание и возврат средств. В то же время пользователи и разработчики пересматривают принципы управления рисками для протоколов DeFi, подчёркивая важность формальных аудитов, программ вознаграждений за поиск ошибок и механизмов обновления с тайм‑локом, чтобы снизить риск повторения подобных инцидентов.
Комментарии (0)