在2026年1月8日,基於以太坊的計算驗證協議 Truebit 遭遇約2,660萬美元的利用,造成8,535個ETH損失。事件針對一個舊版智能合約(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2),其中購買函數的定價邏輯在大型鑄造請求中返回零成本。這個缺陷使惡意者能自由鑄造代幣,並透過綁定曲線循環它們,耗盡該協議的ETH儲備。
TRU 本幣在入侵後立即暴跌近99%,由0.1663美元跌至接近零的水平。由 PeckShield 與 Cyvers Alerts 進行的鏈上分析顯示,被盜資金先匯集至兩個主要地址,然後部分路由至 Tornado Cash,顯示企圖塗改蹤跡。
Truebit 團隊透過官方聲明確認知悉此次安全事件,建議用戶避免與受影響的合約互動。團隊已與美國執法機關及區塊鏈取證公司合作,以追蹤並回收資產。初步調查顯示,定價錯誤的鑄造函數自五年前部署以來一直未被發現,凸顯了實時網絡上遺留代碼的風險。
安全專家指出,單元測試不足以及缺乏持續審計是促成因素。智能合約審計公司 Trail of Bits 強調對關鍵 DeFi 協議進行持續監控和正式驗證的重要性。此事件是2026年初最大的單一協議入侵之一,並引發對協議長期安全漂移的憂慮。
此次漏洞的時機與對 DeFi 安全實踐日益嚴格監管的趨勢同時出現。美國財政部金融犯罪執法網絡 FinCEN 最近的指引,呼籲對去中心化協議實施更嚴格的盡職審查和儲備要求。業界組織現正討論是否需要標準化的安全認證,以降低此類事件的風險。
Truebit 的用戶社群(包括質押和驗證服務提供者)正面臨即時的流動性挑戰。治理提案正在考慮部署緊急財政撥款並重新平衡驗證者的激勵措施。然而,社群情緒仍然謹慎,對追溯性賠償與長期協議的可行性存在爭議。
此次入侵凸顯去中心化生態系統採取主動安全措施的重要性。同時也凸顯了鏈上透明度與對手方發現潛在漏洞的風險之間的平衡。DeFi 行業將密切關注 Truebit 的回應,以及對協議風險管理框架的廣泛影響。
評論 (0)