在2026年1月9日,Truebit 公布了一宗嚴重的安全事件,該事件中其智能合約的漏洞被利用,約 8,535 ETH 被盜,洩漏時的價值約為 2,660 萬美元。該漏洞針對該協議在 getPurchasePrice 函數中的定價邏輯,使攻擊者能以零成本鑄造 TRU 代幣,並通過鑄幣曲線機制將其轉回 ETH,於快速的買賣循環中耗盡合約儲備。
Truebit 的官方渠道在 X 平台的貼文證實了此事件:「今天,我們得知涉及一名或多名惡意行為者的安全事件。受影響的智能合約為 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2,請公眾在另行通知前勿與該合約互動。我們正與執法部門聯繫。」
鏈上分析,來自 Lookonchain 等區塊鏈偵探的數據顯示,被盜總額超過初步標示的餘額,顯示有多筆交易被用於掩飾竊案全貌。PeckShield 的數據證實,大部分被盜的 ETH 先匯聚至單一地址,之後再透過 Tornado Cash 將部分資金混淆蹤跡。攻擊者亦另外實施價值約 30 萬美元的 TRU 代幣二次掠奪。
市場反應立刻且嚴重。根據 Nansen 的數據,TRU 的價格由接近 0.16 美元跌至不足一美分,在不到 24 小時內幾乎抹去全部市場價值。交易量激增,因恐慌性拋售,許多持有者在任何價格都難以出售部位。
此次漏洞成為 2026 年初規模最大的 DeFi 攻擊之一,繼 2025 年末 Flow 的假代幣漏洞以及 Trust Wallet Chrome 擴展破解等重大事件之後。儘管自 2025 年11 月起的總黑客損失從 1.94 億美元降至 12 月的 7600 萬美元,但知名度很高的駭客事件仍突顯出智慧合約代碼的持續脆弱性,以及需要嚴格的安全審計。
Truebit 的開發團隊已暫停所有相關合約,啟動內部調查,並聘請第三方鑑識專家進行全面的技術事後分析。追回被盜資金的部分努力仍在進行中,儘管去中心化特性與使用隱私混合工具使追蹤與追討變得複雜。與此同時,使用者與開發者正在重新評估 DeFi 協議的風險管理實踐,強調正式審計、漏洞獎勵計劃,以及時間鎖定升級機制以減輕未來風險。
評論 (0)