Vào ngày 9 tháng 1 năm 2026, Truebit công bố một sự cố an ninh nghiêm trọng trong đó một lỗ hổng trong hợp đồng thông minh của nó đã bị khai thác để rút sạch khoảng 8.535 ETH, tương đương khoảng 26,6 triệu USD tại thời điểm vi phạm. Lỗ hổng nhắm vào logic định giá của giao thức trong hàm getPurchasePrice, cho phép kẻ tấn công đúc token TRU với chi phí bằng 0 và đổi chúng trở lại thành ETH thông qua một cơ chế đường cong gắn kết, làm cạn kiệt dự trữ của hợp đồng trong một chu kỳ mua-bán nhanh chóng.
Các kênh chính thức của Truebit xác nhận vụ việc trong một bài đăng trên X: “Hôm nay, chúng tôi nhận thức được một sự cố an ninh liên quan đến một hoặc nhiều tác nhân ác ý. Hợp đồng thông minh bị ảnh hưởng là 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 và chúng tôi khuyến cáo công chúng tuyệt đối không tương tác với hợp đồng này cho đến khi có thông báo tiếp theo. Chúng tôi đang liên hệ với cơ quan thực thi pháp luật.”
Phân tích trên chuỗi từ các nhà điều tra blockchain như Lookonchain cho thấy tổng số tiền bị rút ra vượt quá số dư được đánh dấu ban đầu, cho thấy nhiều giao dịch đã được dùng để che giấu phạm vi thực sự của vụ trộm. Dữ liệu của PeckShield xác nhận phần lớn ETH bị đánh cắp đã được tập trung vào một địa chỉ duy nhất trước khi một phần được chuyển qua Tornado Cash để che giấu dấu vết. Kẻ tấn công cũng thực hiện một vụ rút tiền bổ sung TRU trị giá khoảng 300.000 USD.
Phản ứng của thị trường diễn ra ngay lập tức và nghiêm trọng. Theo dữ liệu của Nansen, giá TRU trượt từ gần 0,16 USD xuống còn một phần rất nhỏ của một cent, xóa sạch gần như toàn bộ giá trị thị trường trong chưa đầy 24 giờ. Khối lượng giao dịch tăng vọt khi tình trạng bán tháo hoảng loạn diễn ra, với nhiều người nắm giữ không thể bán được vị thế của họ ở bất kỳ mức giá nào.
Sự cố này đánh dấu một trong những vụ khai thác DeFi lớn nhất đầu năm 2026, sau các sự cố đáng chú ý vào cuối năm 2025 như sự cố token giả của Flow và vụ hack tiện ích Trust Wallet Chrome. Mặc dù tổng thiệt hại do hack trên toàn thị trường giảm từ 194 triệu USD vào tháng 11 năm 2025 xuống còn 76 triệu USD vào tháng 12 năm 2025—những vụ hack có ảnh hưởng cao tiếp tục làm nổi bật các lỗ hổng dai dẳng trong mã hợp đồng thông minh và sự cần thiết của các cuộc kiểm tra an ninh nghiêm ngặt.
Đội ngũ phát triển của Truebit đã tạm dừng tất cả các hợp đồng liên quan, bắt đầu một cuộc điều tra nội bộ và thuê các chuyên gia pháp y độc lập để tiến hành một phân tích hậu sự cố kỹ thuật đầy đủ. Nỗ lực để phục hồi một phần số tiền bị đánh cắp vẫn đang được tiến hành, mặc dù tính phi tập trung của sự cố và việc sử dụng các công cụ trộn quyền riêng tư làm phức tạp việc truy vết và thu hồi. Trong khi đó, người dùng và nhà phát triển đang đánh giá lại các thực tiễn quản lý rủi ro cho các giao thức DeFi, nhấn mạnh tầm quan trọng của các cuộc kiểm tra đánh giá đầy đủ, chương trình thưởng lỗi và cơ chế nâng cấp có khóa thời gian nhằm giảm thiểu các vụ khai thác trong tương lai.
Bình luận (0)