Truebit协议已确认其智能合约之一于1月7日发生安全事件。此次链上漏洞利用导致超过8500个ETH损失,按当前价格计算,价值约2600万至2650万美元。
Truebit 在 X 上发表声明称,已发现与地址 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 处的“Truebit Protocol: Purchase”合约相关的恶意活动,并敦促用户在另行通知前不要与该合约进行任何交互。
该团队表示,他们正在与执法部门合作,并将通过官方渠道发布最新消息。
虽然 Truebit 尚未披露该漏洞的技术细节,链上分析这表明该漏洞源于合约的 getPurchasePrice[uint256] 函数中的定价逻辑错误。
据报道,该函数对异常大的铸币请求返回零价格,使攻击者能够免费铸币。
利用这一漏洞,攻击者能够反复铸造代币并将其出售回协议的绑定曲线,通过快速的买卖循环耗尽 ETH 储备。
其中一次主要的攻击交易使用了明确标记为“攻击”的函数。
大部分被盗资金被集中到一个地址,只有一小部分被转移到了备用钱包。
交易记录显示,漏洞利用发生后不久,大约一半被盗的 ETH 通过 Tornado Cash 进行交易。
快速使用混合服务表明,此次攻击是蓄意且预先计划好的,而不是机会主义的。
此次漏洞利用立即对市场造成了冲击。事件发生后,TRU 代币价格大幅下跌。在主要交易所,短短 12 小时内,TRU 代币价格就从约 0.16 美元暴跌至 0.005 美元,跌幅超过 60%。
来源:TradingView
下跌反映了交易员对损失规模和补救措施不确定性的反应。
Truebit事件发生之际,加密货币相关犯罪正在全面抬头。
数据来自链分析数据显示,2025 年非法加密货币交易大幅增加,主要原因是被盗资金和与受制裁实体相关的活动。
数据显示,到 2025 年,这一数字将跃升至约 1540 亿美元。
来源:Chainalysis
这一趋势凸显了经济动机攻击如何继续针对智能合约逻辑中的弱点,特别是与定价和代币发行机制相关的弱点。
截至发稿时,Truebit尚未公布恢复计划,也未说明是否会全额赔偿用户。
团队重申,最新消息将通过官方渠道发布。
