2026年1月9日,Truebit披露了一起严重的安全事件,其中其智能合约的一个漏洞被利用,窃取约8,535 ETH,在泄露时价值约2,660万美元。此次攻击针对该协议在 getPurchasePrice 函数中的定价逻辑,使攻击者能够在零成本下铸造 TRU 代币,并通过绑定曲线机制将其重新转为 ETH,从而在快速的买卖循环中耗尽合约储备。
Truebit 的官方渠道在 X 平台上发布确认事件:“今天,我们意识到一起涉及一名或多名恶意行为者的安全事件。受影响的智能合约是 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2,我们强烈建议公众在另行通知前不要与该合约互动。我们正与执法部门保持联系。”
来自 Lookonchain 等区块链侦探的链上分析显示,被窃总额超出初始标记余额,表明有多笔交易被用来掩盖盗窃的全局规模。PeckShield 的数据证实,大部分被盗 ETH 被汇聚到一个单一地址,然后再通过 Tornado Cash 将部分资金转出以混淆轨迹。攻击者还另外提取了约价值30万美元的 TRU 代币。
市场反应迅速且严重。根据 Nansen 的数据,TRU 的价格从接近 0.16 美元暴跌至几分之一美分,在短短24小时内几乎清空了所有市场价值。由于恐慌性抛售,交易量激增,许多持有者无论以何种价格都无法卖出头寸。
此次漏洞成为2026年初期最大的去中心化金融(DeFi)遭受攻击事件之一,此前在2025年末发生了如 Flow 的伪造代币攻击和 Trust Wallet Chrome 扩展漏洞等重大事件。尽管总黑客损失呈下降态势——从2025年11月的1.94亿美元降至12月的7600万美元——但高知名度的黑客事件仍凸显智能合约代码的持续脆弱性以及进行严格安全审计的必要性。
Truebit 的开发团队已暂停所有相关合约,启动内部调查,并聘请第三方取证专家进行全面的技术事后分析。关于部分追回被盗资金的谈判仍在继续,尽管此次漏洞的去中心化特性以及隐私混合器的使用使追踪与找回变得复杂。与此同时,用户和开发者正在重新评估去中心化金融(DeFi)协议的风险管理实践,强调正式审计、漏洞赏金计划以及带时间锁的升级机制的重要性,以降低未来的利用风险。
评论 (0)