8 января 2026 года Truebit, протокол проверки вычислений на базе Ethereum, был взломан на сумму примерно 26,6 млн долларов, в результате чего потеряно 8 535 ETH. Инцидент затронул устаревший смарт-контракт (0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), где ошибка логики ценообразования в функции покупки возвращала нулевую стоимость для крупных запросов на минт. Эта уязвимость позволила злоумышленнику свободно минтить токены и прокручивать их по кривой привязки токенов, истощая резервы ETH протокола.
Нативный токен TRU обрушился на 99%, упав с 0,1663 доллара до примерно нулевых значений сразу после взлома. Анализ в блокчейне PeckShield и Cyvers Alerts проследил, что похищенные средства консолидировались на двух основных адресах, а затем частично направлялись через Tornado Cash, что указывает на попытку скрыть след.
Команда Truebit подтвердила осведомлённость о происшествии через официальное заявление, рекомендующее пользователям воздержаться от взаимодействия с взломанным контрактом. Они привлекли правоохранительные органы США и фирмы по блокчейн-экспертизе для отслеживания и возврата активов. Предварительные расследования показывают, что функция минтинга с неверной ценой оставалась незамеченной с момента её развертывания пять лет назад, что подчёркивает риски устаревшего кода в работающих сетях.
Эксперты по безопасности указывают на недостаточное модульное тестирование и отсутствие регулярных аудитов как сопутствующие факторы. Аудитор умных контрактов Trail of Bits подчеркнул важность непрерывного мониторинга и формальной верификации для критически важных протоколов DeFi. Эта эксплуатация представляет собой одно из крупнейших нарушений в рамках одного протокола в начале 2026 года и вызывает озабоченность по поводу дрейфа безопасности протокола со временем.
Время взлома совпало с усилением регуляторного надзора за практиками безопасности DeFi. Недавние рекомендации Управления по финансовым преступлениям (FinCEN) Министерства финансов США призывают к более строгому должной осмотрительности и требованиям к резервам для децентрализованных протоколов. Отраслевые группы теперь обсуждают необходимость стандартных сертификатов безопасности, чтобы снизить риск подобных инцидентов.
Сообщество пользователей Truebit, включая провайдеров услуг стейкинга и проверки, сталкивается с немедленными проблемами ликвидности. Разрабатываются предложения по введению экстренных грантов казначейства и перераспределения стимулов для верификаторов. Однако настроение сообщества остаётся осторожным, ведутся дебаты о ретроактивной компенсации и долгосрочной жизнеспособности протокола.
Этот взлом подчёркивает критическую важность проактивных мер безопасности в децентрализованных экосистемах. Он также подчёркивает компромисс между ончейн-прозрачностью и возможностью злоумышленников обнаружить скрытые уязвимости. Сектор DeFi будет внимательно следить за ответом Truebit и за более широким влиянием на рамки управления рисками протоколов.
Комментарии (0)