在2026年1月8日,基于以太坊的计算验证协议Truebit遭到攻击,损失约2660万美元,造成8535枚ETH损失。此次事件针对一个遗留的智能合约(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2),其中购买函数的定价逻辑错误在大规模铸造请求时返回零成本。这个缺陷使恶意行为者能够自由铸造代币并通过绑定曲线循环它们,从而耗尽协议的ETH储备。
TRU本币的价格崩盘99%,在漏洞发生后立即从0.1663美元跌至接近零的水平。PeckShield和Cyvers Alerts的链上分析追踪到被盗资金汇聚到两个主要地址,然后再部分通过Tornado Cash路由,显示出试图掩盖踪迹。
Truebit团队通过官方声明确认已意识到安全事件,建议用户避免与受损合约互动。他们已联系美国执法机构和区块链取证公司,以追踪并追回资产。初步调查表明,错误定价的铸造函数自五年前部署以来一直未被发现,凸显在真实网络上遗留代码的风险。
安全专家将不足的单元测试和缺乏持续审计列为导致因素。智能合约审计机构Trail of Bits强调对关键DeFi协议进行持续监控和形式化验证的重要性。这次漏洞代表2026年初最大的单一协议漏洞之一,并引发对协议安全随时间推移而产生漂移的担忧。
此次攻击的时机与对DeFi安全实践加强监管的趋势同步。美国财政部金融犯罪执法网络(FinCEN)最近的指引呼吁对去中心化协议实施更严格的尽职调查和储备要求。行业团体现正就建立标准化的安全认证以降低类似事件风险进行辩论。
Truebit的用户社区,包括质押和验证服务提供商,正面临即时的流动性挑战。治理提案正在考虑部署应急财政补助并重新平衡验证者的激励。不过,社区情绪仍然谨慎,关于追溯性赔付和长期协议可行性的讨论仍在进行。
此次漏洞凸显去中心化生态系统中主动安全措施的关键重要性。它还突显了链上透明度与潜在对手方发现潜在漏洞之间的权衡。去中心化金融(DeFi)领域将密切关注Truebit的应对以及对协议风险管理框架的更广泛影响。
评论 (0)