在 2026 年 1 月 9 日,Truebit 公布了一起嚴重的安全事件,黑客利用其智能合約中的漏洞,竊取約 8,535 ETH,在入侵時估值約 2,660 萬美元。該漏洞針對協議在 getPurchasePrice 函數中的定價邏輯,使攻擊者能以零成本鑄造 TRU 代幣,並透過綁定曲線機制將其換回 ETH,在快速的買入-賣出循環中耗竭了合約的儲備。
Truebit 的官方渠道在 X 平台發布貼文,證實此事件:「今天,我們得知涉及一名或多名惡意行為者的安全事件。受影響的智能合約位於 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2,強烈建議公眾在另行通知前不要與該合約互動。我們已與執法部門取得聯繫。」
來自 Lookonchain 等區塊鏈偵探的鏈上分析顯示,被盜總量超過初始標記的餘額,這顯示有多筆交易被用以掩蓋竊案的全貌。PeckShield 的數據證實,大多被盜的 ETH 已聚合到一個地址,之後再透過 Tornado Cash 對其軌跡進行混淆。攻擊者還額外大量提取價值約 30 萬美元的 TRU 代幣。
市場反應即刻且嚴重。根據 Nansen 的數據,TRU 的價格從接近 0.16 美元跳水至不到一美分,短短 24 小時內幾乎清空全部市場價值。隨著恐慌性拋售,交易量激增,許多持有人在任何價格都無法拋售頭寸。
此次入侵成為 2026 年初最大的 DeFi 攻擊事件之一,繼 2025 年底 Flow 的偽造代幣漏洞、Trust Wallet Chrome 擴充功能駭客事件等重要事故之後。儘管整體駭客損失自 2025 年 11 月的 1.94 億美元降至 12 月的 7600 萬美元,但高知名度的駭客事件仍凸顯出智慧合約程式碼的持續漏洞,以及對嚴格安全審計的需求。
Truebit 的開發團隊已暫停所有相關合約,啟動內部調查,並聘請第三方取證專家進行全面的事後技術分析。為挽回部分被盜資金的努力仍在進行中,儘管此入侵的去中心化特性以及使用隱私混合器使追蹤與追回變得更複雜。與此同時,使用者與開發者正重新評估 DeFi 協議的風險管理實踐,強調正式審計、漏洞賞金計畫,以及定時鎖定升級機制的重要性,以降低未來被利用的風險。
評論 (0)