Pérdidas superan los 26 millones de dólares: Análisis del incidente de seguridad de Truebit Protocol y seguimiento del flujo de fondos robados

marsbitPublicado a 2026-01-09Actualizado a 2026-01-09

Resumen

El protocolo Truebit sufrió un ataque el 9 de enero, resultando en una pérdida de 8,535.36 ETH (aproximadamente 26.4 millones de dólares). El contrato afectado, desplegado hace cinco años y sin código abierto, presentaba una vulnerabilidad en una función no auditada. El atacante explotó un error de lógica aritmética (posiblemente truncamiento de enteros) al llamar a la función 0xa0296215() con un msg.value mínimo, lo que permitió la acuñación masiva de tokens TRU. Posteriormente, los intercambió por ETH del contrato mediante la función burn, repitiendo el proceso hasta drenar casi todos los fondos. Los activos robados se encuentran principalmente en las direcciones 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH). Beosin recomienda actualizar contratos antiguos, implementar mecanismos de pausa de emergencia y realizar auditorías de seguridad para prevenir incidentes similares.

Autor: Beosin

El 9 de enero en la madrugada, un contrato no abierto implementado hace 5 años por Truebit Protocol sufrió un ataque, perdiendo 8,535.36 ETH (valorados en aproximadamente 26.4 millones de dólares). El equipo de seguridad de Beosin realizó un análisis de la vulnerabilidad y el seguimiento de fondos de este incidente de seguridad, y comparte los resultados a continuación:

Análisis de la técnica de ataque

Para este incidente, tomamos como análisis la transacción de ataque más significativa, cuyo hash es: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. El atacante llama a getPurchasePrice() para obtener el precio

2. Luego llama a la función defectuosa 0xa0296215(), estableciendo el valor de msg.value extremadamente bajo

Dado que el contrato no es de código abierto, a través del código descompilado se infiere que esta función tiene una vulnerabilidad lógica aritmética, como problemas de truncamiento de enteros, lo que permitió al atacante acuñar con éxito una gran cantidad de tokens TRU.

3. El atacante utiliza la función burn para "vender" los tokens acuñados de vuelta al contrato, extrayendo una gran cantidad de ETH de las reservas del contrato.

Este proceso se repite 4 veces, incrementando el valor de msg.value cada vez, hasta extraer casi todo el ETH del contrato.

Seguimiento de fondos robados

Según los datos de transacciones en cadena, Beosin realizó un seguimiento exhaustivo de los fondos a través de su plataforma de investigación y rastreo en cadena BeosinTrace, y comparte los resultados a continuación:

Actualmente, los 8,535.36 ETH robados, después de ser transferidos, se encuentran en su mayor parte en 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 y 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

La dirección 0xd12f posee 4,267.09 ETH, y la dirección 0x2735 posee 4,001 ETH. La dirección desde la que el atacante inició el ataque (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) aún tiene 267.71 ETH. Las tres direcciones no han realizado más transferencias de fondos por el momento.

Gráfico de análisis del flujo de fondos robados por Beosin Trace

Todas las direcciones mencionadas han sido marcadas como direcciones de alto riesgo por Beosin KYT. Tomando como ejemplo la dirección del atacante:

Beosin KYT

Conclusión

Los fondos robados en este incidente involucran un contrato inteligente no abierto implementado hace 5 años. Para este tipo de contratos, los proyectos deberían actualizar el contrato, introducir funciones de pausa de emergencia, limitaciones de parámetros y las características de seguridad de las nuevas versiones de Solidity. Además, la auditoría de seguridad sigue siendo un paso esencial para los contratos. A través de auditorías de seguridad, las empresas Web3 pueden detectar de la manera más exhaustiva posible el código del contrato inteligente, encontrar y reparar vulnerabilidades potenciales, mejorando así la seguridad del contrato.

*Beosin proporcionará el informe completo de todos los flujos de fondos y riesgos de direcciones de este incidente. Bienvenidos a solicitarlo a través del correo oficial [email protected].

Preguntas relacionadas

Q¿Qué es el Truebit Protocol y cuánto perdió en el ataque?

ATruebit Protocol es un proyecto de blockchain que sufrió un ataque a un contrato no abierto implementado hace 5 años, perdiendo 8,535.36 ETH (equivalente a aproximadamente 26.4 millones de dólares).

Q¿Cuál fue la principal vulnerabilidad explotada en el ataque según Beosin?

ALa vulnerabilidad explotada fue un problema lógico aritmético en una función no abierta (posiblemente relacionada con truncamiento de enteros), permitiendo al atacante acuñar una gran cantidad de tokens TRU con un msg.value mínimo.

Q¿A qué direcciones se transfirieron la mayoría de los fondos robados?

ALa mayoría de los fondos robados (8,535.36 ETH) fueron transferidos a dos direcciones: 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4,267.09 ETH) y 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4,001 ETH).

Q¿Qué herramienta utilizó Beosin para rastrear el flujo de fondos?

ABeosin utilizó su plataforma de investigación y rastreo en cadena BeosinTrace para realizar un seguimiento detallado del flujo de fondos robados.

Q¿Qué recomendaciones de seguridad sugiere Beosin después de este incidente?

ABeosin recomienda actualizar contratos no abiertos, introducir funciones de pausa de emergencia, limitaciones de parámetros, características de seguridad de nuevas versiones de Solidity y realizar auditorías de seguridad para detectar y reparar vulnerabilidades.

Lecturas Relacionadas

Bitcoin Recupera el Soporte Clave de MVRV en $73,700 — ¿Qué Sigue Ahora?

Bitcóin ha recuperado un nivel de soporte crucial en 73.700 dólares según las Bandas de Valoración MVRV, un indicador on-chain que compara el precio de mercado con el valor realizado. Este movimiento sugiere un fortalecimiento del mercado y reduce el riesgo de caídas a corto plazo. Según el analista Ali Martínez, mantener este soporte podría impulsar al BTC hacia los 96.000 dólares, el siguiente objetivo alcista. Sin embargo, una ruptura por debajo de 73.700 dólares podría desencadenar una venta masiva, con el siguiente soporte clave en la Zona de Precio Realizado alrededor de 55.000 dólares. Actualmente, Bitcoin cotiza cerca de 78.000 dólares, un 13% más en un mes, pero aún está un 38% por debajo de su máximo histórico de 126.198 dólares alcanzado en octubre de 2025.

bitcoinistHace 1 hora(s)

Bitcoin Recupera el Soporte Clave de MVRV en $73,700 — ¿Qué Sigue Ahora?

bitcoinistHace 1 hora(s)

Los datos históricos muestran que el precio de Bitcoin nunca ha superado este nivel: ¿Lo hará ahora?

Los datos históricos muestran que el precio de Bitcoin nunca ha retrocedido a un mínimo anterior una vez que se recupera un 30% desde ese piso, un patrón que se ha mantenido en los últimos 13 años. Tras tocar un mínimo anual en febrero en $61,300, Bitcoin ha subido alrededor de un 28% y se acerca al nivel clave de $79,694, que marcaría el punto de no retorno según esta regla. Actualmente cotiza cerca de $77,620, necesitando solo un 2.7% adicional para confirmar el patrón histórico. Este movimiento se ve respaldado por reservas en exchanges en mínimos y una fuerte acumulación por parte de inversores institucionales.

bitcoinistHace 5 hora(s)

Los datos históricos muestran que el precio de Bitcoin nunca ha superado este nivel: ¿Lo hará ahora?

bitcoinistHace 5 hora(s)

Por Qué Bitcoin Sigue Actuando Como un Activo de Riesgo A Pesar de las Afirmaciones de Refugio Seguro

A pesar de que el Bitcoin posee características teóricas de activo refugio (como portabilidad, resistencia a la censura e independencia del sistema financiero tradicional), en la práctica sigue comportándose como un activo de riesgo durante periodos de incertidumbre, mostrando una alta correlación con índices como el NASDAQ. El analista Willy Woo sugiere que esto se debe a que los grandes capitales aún no reconocen plenamente sus propiedades, y estima que podría tomar una década más para que sea aceptado como refugio value, compitiendo entonces con la capitalización del oro. Técnicamente, BTC muestra signos de debilidad tras un cambio de estructura bajista, con un posible retroceso hacia niveles inferiores. Se observa un rechazo en la brecha de valor justo mensual (FVG), manteniéndose dentro de un patrón de cuña alcista que sugiere una posible continuación a la baja mientras no se superen las resistencias clave.

bitcoinistHace 5 hora(s)

Por Qué Bitcoin Sigue Actuando Como un Activo de Riesgo A Pesar de las Afirmaciones de Refugio Seguro

bitcoinistHace 5 hora(s)

Notas de ocho años de emprendimiento del socio de IA de a16z

Tras ocho años liderando Rosebud AI, su fundador se une a a16z como socio para invertir en infraestructura e IA. En 2018, comenzó en el campo de "medios sintéticos" con modelos como CycleGAN y StyleGAN, impulsado por su pasión en la intersección entre tecnología y arte. Entre 2018 y 2023, su enfoque fue crear productos "suficientemente útiles" que enmascararan las limitaciones tempranas de los modelos, logrando crecimiento orgánico con herramientas como TokkingHeads. En 2023, la generación de código con GPT-4 permitió prototipos avanzados de creación de juegos mediante texto. Ahora, el reto es construir lo que los laboratorios no priorizan, especialmente en juegos, donde la monetización directa de jugadores ofrece oportunidades únicas. Rosebud continúa con un nuevo CEO, manteniendo su comunidad activa de creadores.

marsbitHace 7 hora(s)

Notas de ocho años de emprendimiento del socio de IA de a16z

marsbitHace 7 hora(s)

¿Cuántos Token le faltan a Yang Zhilin para alcanzar la 'Luna que persigue la luz'?

Resumen: En el panorama competitivo de la IA china, Yang Zhilin, fundador de MoonDark (Kimi), enfrenta una "ansiedad existencial" ante la presión técnica, comercial y capitalista. Aunque Kimi ha logrado avances significativos en agentes multiagente y contextos largos, su alto perfil y altas expectativas contrastan con el enfoque silencioso y técnico de DeepSeek, que recientemente lanzó su modelo V4 de código abierto con 1,6 billones de parámetros. Mientras DeepSeek busca una narrativa de innovación disruptiva, Kimi enfrenta desafíos de comercialización y presión por su posible salida a bolsa. A pesar de esto, ambos modelos son cruciales para el ecosistema de IA chino, reduciendo la brecha con EE.UU. a solo un 2,7% en evaluaciones Elo. La competencia entre estas empresas impulsa la innovación y posiciona a China a la vanguardia global de los modelos de código abierto.

marsbitHace 7 hora(s)

¿Cuántos Token le faltan a Yang Zhilin para alcanzar la 'Luna que persigue la luz'?

marsbitHace 7 hora(s)

Trading

Spot
Futuros
活动图片

Categorías popularesright-arrow

Etiquetas Popularesright-arrow