Truebit 協議確認發生安全事件,漏洞導致超過 2600 萬美元的以太坊被盜。
Truebit協議已確認其智能合約之一於1月7日發生安全事件。 此次鏈上漏洞利用導致超過8500個ETH損失,按當前價格計算,價值約2600萬至2650萬美元。
Truebit 在 X 上發表聲明稱,已發現與地址 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 處的“Truebit Protocol: Purchase”合約相關的惡意活動,並敦促用戶在另行通知前不要與該合約進行任何交互。
該團隊表示,他們正在與執法部門合作,並將通過官方渠道發布最新消息。
定價缺陷導致免費代幣鑄造
雖然 Truebit 尚未披露該漏洞的技術細節,鏈上分析這表明該漏洞源於合約的 getPurchasePrice[uint256] 函數中的定價邏輯錯誤。
據報導,該函數對異常大的鑄幣請求返回零價格,使攻擊者能夠免費鑄幣。
利用這一漏洞,攻擊者能夠反复鑄造代幣並將其出售回協議的綁定曲線,通過快速的買賣循環耗盡 ETH 儲備。
其中一次主要的攻擊交易使用了明確標記為“攻擊”的函數。
大部分被盜資金被集中到一個地址,只有一小部分被轉移到了備用錢包。
資金通過“龍捲風現金”計劃轉移。
交易記錄顯示,漏洞利用發生後不久,大約一半被盜的 eth 通過 Tornado Cash 進行交易。
快速使用混合服務表明,此次攻擊是蓄意且預先計劃好的,而不是機會主義的。
Truebit TRU 代幣價格暴跌
此次漏洞利用立即對市場造成了衝擊。 事件發生後,TRU 代幣價格大幅下跌。 在主要交易所,短短 12 小時內,TRU 代幣價格就從約 0.16 美元暴跌至 0.005 美元,跌幅超過 60%。
來源:TradingVieW
下跌反映了交易員對損失規模和補救措施不確定性的反應。
此次漏洞利用反映了加密犯罪的更廣泛趨勢。
Truebit事件發生之際,加密貨幣相關犯罪正在全面抬頭。
數據來自鏈分析數據顯示,2025 年非法加密貨幣交易大幅增加,主要原因是被盜資金和與受制裁實體相關的活動。
數據顯示,到 2025 年,這一數字將躍升至約 1540 億美元。
來源:Chainalysis
這一趨勢凸顯了經濟動機攻擊如何繼續針對智能合約邏輯中的弱點,特別是與定價和代幣發行機制相關的弱點。
截至發稿時,Truebit尚未公佈恢復計劃,也未說明是否會全額賠償用戶。
團隊重申,最新消息將通過官方渠道發布。
最後想說的話
- Truebit 漏洞凸顯了定價和邊界條件漏洞仍然是最危險的智能合約風險之一,即使沒有復雜的攻擊途徑。
- 這一事件進一步證明,隨著加密貨幣的廣泛普及,以經濟利益為動機的攻擊活動也在不斷增加。
