在 2026 年 1 月 8 日,基於以太坊的計算驗證協議 Truebit 遭到利用,造成約 2,660 萬美元的損失,損失量為 8,535 ETH。事件針對一個遺留的智能合約(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2),在購買函數中的定價邏輯錯誤對大型鑄造請求返回零成本。此漏洞使惡意行為者能自由鑄造代幣,並藉由綁定曲線循環,耗盡該協議的 ETH 儲備。
TRU 原生代幣在這次漏洞後立即崩跌 99%,由 0.1663 美元跌至接近零的水平。PeckShield 與 Cyvers Alerts 的鏈上分析追蹤到被盜資金在分發前集中到兩個主要地址,然後再部分路由至 Tornado Cash,顯示企圖混淆追蹤。
Truebit 團隊透過官方聲明確認已獲悉此資安事件,並建議使用者避免與受影響的合約互動。他們已與美國執法機關及區塊鏈鑑識公司合作,以追蹤並追回資產。初步調查顯示,定價錯誤的鑄造函數自五年前部署以來就一直未被注意,凸顯出在實際運行於網路上的遺留程式碼風險。
資安專家指出,單元測試不足與缺乏持續審計是促成因素。智能合約審計公司 Trail of Bits 強調,對於關鍵去中心化金融協議而言,持續監控與正式驗證的重要性。此起漏洞事件是 2026 年初最大的單一協議安全事件之一,並引發對協議長期安全風險的擔憂。
此起利用事件的時機也與監管機關對 DeFi 安全實務的嚴格監管加強同步。美國財政部金融犯罪執法網絡(FinCEN)最近的指南要求對去中心化協議實施更嚴格的盡職調查與儲備金要求。業界團體現在就是否需要標準化的安全認證以降低類似事件的風險展開辯論。
Truebit 的用戶社群,包括質押與驗證服務提供者,面臨即刻的流動性挑戰。治理提案正考慮部署緊急財政撥款與重新平衡驗證者的激勵機制。不過,社群情緒仍然謹慎,對事後補償與長期協議可行性存在分歧。
這次的入侵凸顯了去中心化生態系統中主動式安全措施的關鍵重要性。它也揭示了鏈上透明度與對手方挖掘潛在漏洞的風險之間的取捨。去中心化金融(DeFi)行業將密切關注 Truebit 的回應以及對協議風險管理框架的廣泛影響。
評論 (0)