2026年1月8日,基于以太坊的计算验证协议 Truebit 遭遇漏洞攻击,损失约2660万美元,约损失8,535 ETH。这起事件针对一个遗留的智能合约(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2),其中购买函数的定价逻辑缺陷在大额铸造请求中返回零成本。这一缺陷允许恶意参与者自由铸造代币并通过绑定曲线循环铸币,耗尽了协议的ETH储备。
TRU 原生代币在被攻破后立即暴跌99%,从0.1663美元跌至接近为零的水平。PeckShield 和 Cyvers Alerts 的链上分析显示,被窃资金先汇聚到两个主要地址,然后再经 Tornado Cash 部分路由,显示出试图对踪迹进行混淆。
Truebit 团队通过官方声明确认知悉安全事件,建议用户避免与受影响的合约交互。他们已聘请美国执法机构和区块链取证公司追踪并追回资产。初步调查表明,错价铸造函数在五年前部署后便未被发现,这凸显了现场网络上遗留代码的风险。
安全专家指出,单位测试不足和缺乏持续审计是促成因素。智能合约审计公司 Trail of Bits 强调对关键 DeFi 协议进行持续监控和形式化验证的重要性。这次利用行为是2026年初最大的一起单一协议漏洞之一,并引发对协议安全漂移的担忧。
此次漏洞的时机恰逢对 DeFi 安全实践的监管加强之际。美国财政部金融犯罪执法网络(FinCEN)最近的指南要求对去中心化协议进行更严格的尽职调查和储备金要求。业界组织现在正在讨论是否需要标准化的安全认证,以降低类似事件的风险。
Truebit 的用户社区,包括质押和验证服务提供商,正面临即时流动性挑战。治理提案正在讨论以部署紧急国库拨款并重新平衡验证者激励。然而,社区情绪仍保持谨慎,关于追溯性赔偿和长期协议可行性的讨论仍在进行。
此次漏洞凸显了去中心化生态系统中主动安全措施的关键性,也凸显了链上透明度与潜在漏洞被对手发现之间的权衡。DeFi 行业将密切关注 Truebit 的应对及对协议风险管理框架的更广泛影响。
评论 (0)