9. januarja 2026 je Truebit razkril resen varnostni incident, pri katerem je bila izkoriščena ranljivost v njegovem pametnem kontraktu, s katero je bilo odvzeto približno 8.535 ETH, vrednih približno 26,6 milijona USD v času vdora. Zloraba je ciljala na logiko določanja cen protokola v funkciji getPurchasePrice, s čimer je napadalcu omogočilo mintanje TRU žetonov brez stroškov ter njihovo pretvorbo nazaj v ETH preko vezne krivulje, s čimer so se zaloge pametnega kontrakta hitro izčrpale v ciklu nakupov in prodaj.
Uradni kanali Truebita so incident potrdili v objavi na X: “Danes smo izvedeli za varnostni incident, v katerega je bilo vpletenih ena ali več zlonamernih oseb. Zadevni pametni kontrakt je 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 in strogo svetujemo javnosti, da s tem kontraktom do nadaljnjega ne interagira. Smo v stiku z organi pregona.”
On-chain analiza s strani blockchain detektivov, kot je Lookonchain, je razkrila, da je skupna vrednost izčrpanih sredstev presegla prvotno označeno bilanco, kar nakazuje, da je bilo uporabljeno več transakcij za prikrivanje celotnega obsega tatvine. Podatki PeckShielda potrjujejo, da je večina ukradenega ETH združena v en naslov, preden so deli preusmerjeni preko Tornado Casha, da bi zameglili sled. Napadalec je izvedel tudi sekundarno izčrpavanje TRU žetonov v vrednosti približno 300.000 USD.
Tržni odziv je bil takojšen in zelo ostro. Po podatkih Nansen je cena TRU padla z okoli 0,16 USD na delček centa, s čimer je v manj kot 24 urah izbrisala skoraj vso trgovalno vrednost. Obseg trgovanja se je močno povečal, panika prodaje pa je povzročila, da mnogi imetniki niso mogli prodati svojih pozicij po nobeni ceni.
Ta vdor sodi med največja DeFi izkoriščanja v začetku leta 2026, potem ko so bili pomembni incidenti konec leta 2025, kot sta izkoriščanje ponarejenih žetonov Flow in hekanje razširitve Chrome Trust Wallet. Kljub širjenju skupnih izgub pri hekih — s 194 milijoni USD v novembru 2025 na 76 milijonov USD v decembru — visokoprofilni vdori še vedno poudarjajo obstojne ranljivosti v kodi pametnih kontraktov in potrebo po strogih varnostnih revizijah.
Truebitova razvojna ekipa je zaustavila vse povezane pogodbe, začela interno preiskavo in najela tretje forenzične strokovnjake, da izvede celostno tehnično poročilo o dogodku. Napori za pogajanje delnega povračila ukradenih sredstev so v teku, čeprav decentralizirana narava vdora in uporaba mešalnikov zasebnosti otežujeta sledenje in pridobivanje sredstev. Medtem uporabniki in razvijalci ponovno ocenjujejo prakse upravljanja tveganj za DeFi protokole, poudarjajo pomen formalnih revizij, programov nagrajevanja za odpravljanje hroščev in mehanizmov nadgradnje z časovnim zaklepom, da bi ublažili prihodnja izkoriščanja.
Komentarji (0)