Pertes dépassant 26 millions de dollars, analyse de l'incident de sécurité du Truebit Protocol et suivi des flux de fonds volés

marsbitPublié le 2026-01-09Dernière mise à jour le 2026-01-09

Résumé

Le protocole Truebit a subi une attaque le 9 janvier, entraînant une perte de 8 535,36 ETH (environ 26,4 millions de dollars). L’attaque a exploité un contrat non open source déployé il y a cinq ans. L’analyse de Beosin révèle que l’attaquant a utilisé une fonction non documentée (0xa0296215) avec une valeur msg.value minime, profitant d’une faille de type dépassement arithmétique pour frapper massivement des jetons TRU. Ensuite, l’attaquant les a revendus au contrat via la fonction burn, drainant ainsi les réserves d’ETH. Les fonds volés, soit 8 535,36 ETH, ont été majoritairement transférés vers deux adresses : 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4 267,09 ETH) et 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4 001 ETH). Le reste (267,71 ETH) se trouve toujours sur l’adresse de l’attaquant. Aucun autre mouvement n’a été observé pour le moment. Beosin recommande aux projets utilisant des anciens contrats non audités de les mettre à jour, d’ajouter des mécanismes de pause d’urgence et de réaliser des audits de sécurité rigoureux.

Auteur : Beosin

Le 9 janvier à l'aube, un contrat non open source déployé il y a 5 ans par Truebit Protocol a été attaqué, entraînant une perte de 8 535,36 ETH (d'une valeur d'environ 26,4 millions de dollars). L'équipe de sécurité de Beosin a réalisé une analyse de la vulnérabilité et du suivi des fonds pour cet incident de sécurité, et partage les résultats ci-dessous :

Analyse de la méthode d'attaque

Pour cet incident, nous prenons comme principale analyse la transaction d'attaque suivante, dont le hash est : 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

1. L'attaquant appelle getPurchasePrice() pour obtenir le prix

2. Il appelle ensuite la fonction défectueuse 0xa0296215(), en définissant une valeur msg.value extrêmement faible

Le contrat n'étant pas open source, le code décompilé suggère que cette fonction présente une vulnérabilité de logique arithmétique, comme un problème de troncature d'entier, permettant à l'attaquant de frapper avec succès un grand nombre de jetons TRU.

3. L'attaquant utilise la fonction burn pour « revendre » les jetons frappés au contrat, extrayant ainsi une grande quantité d'ETH des réserves du contrat.

Ce processus est répété 4 fois, la valeur de msg.value augmentant à chaque fois, jusqu'à ce que presque tout l'ETH du contrat soit extrait.

Suivi des fonds volés

Sur la base des données de transaction on-chain, Beosin a effectué un suivi détaillé des fonds via sa plateforme d'enquête et de suivi blockchain BeosinTrace, et partage les résultats ci-dessous :

Actuellement, les 8 535,36 ETH volés ont été transférés et la grande majorité est détenue sur les adresses 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 et 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

L'adresse 0xd12f détient 4 267,09 ETH, et l'adresse 0x2735 détient 4 001 ETH. L'adresse à partir de laquelle l'attaquant a lancé l'attaque (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) détient encore 267,71 ETH. Aucun transfert supplémentaire n'a été observé depuis ces trois adresses pour le moment.

Diagramme du flux des fonds volés par Beosin Trace

Toutes ces adresses ont été marquées comme adresses à haut risque par Beosin KYT, prenons l'exemple de l'adresse de l'attaquant :

Beosin KYT

Conclusion

Les fonds volés concernent un contrat intelligent non open source déployé il y a 5 ans. Pour ce type de contrat, les projets devraient procéder à une mise à niveau du contrat, en introduisant une fonction d'arrêt d'urgence, des limites de paramètres et les nouvelles fonctionnalités de sécurité de Solidity. De plus, l'audit de sécurité reste une étape essentielle pour les contrats. Grâce à un audit de sécurité, les entreprises Web3 peuvent détecter de manière aussi complète que possible le code des contrats intelligents, identifier et corriger les vulnérabilités potentielles, et améliorer la sécurité des contrats.

*Beosin fournira le rapport complet de l'analyse de tous les flux de fonds et des risques liés aux adresses pour cet incident. N'hésitez pas à le demander via l'e-mail officiel [email protected].

Questions liées

QQuel est le montant total des pertes subies par Truebit Protocol lors de cet incident de sécurité ?

ATruebit Protocol a subi des pertes de 8 535,36 ETH, d'une valeur d'environ 26,4 millions de dollars.

QQuelle est la fonction vulnérable qui a permis à l'attaquant de frapper un grand nombre de jetons TRU ?

ALa fonction vulnérable est la fonction non open-source 0xa0296215(), qui présentait une faille de logique arithmétique, probablement un problème de troncature d'entier.

QQuelles sont les deux principales adresses où la majorité des fonds volés ont été stockés ?

ALa majorité des fonds volés sont stockés sur les adresses 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 (4 267,09 ETH) et 0x273589ca3713e7becf42069f9fb3f0c164ce850a (4 001 ETH).

QQuel outil Beosin a-t-il utilisé pour effectuer le suivi détaillé des fonds sur la blockchain ?

ABeosin a utilisé sa plateforme d'enquête et de suivi sur la blockchain, BeosinTrace, pour effectuer le suivi détaillé des fonds.

QQuelles mesures les projets sont-ils invités à prendre pour améliorer la sécurité de leurs contrats après cet incident ?

ALes projets sont invités à mettre à niveau leurs contrats pour inclure une fonction d'arrêt d'urgence, des limites de paramètres et les nouvelles fonctionnalités de sécurité de Solidity. Un audit de sécurité est également fortement recommandé.

Lectures associées

Des choix divergents après la chute : les institutions achètent le creux, les traders se tournent vers les actions américaines

Le 6 juin, le BTC a brièvement chuté sous les 60 000 dollars, touchant un plus bas à 59 130 dollars. Malgré un rebond ultérieur, la perte de ce niveau clé a fortement affecté la confiance du marché, l'indice de peur restant à un niveau d'"extrême peur" à 15. Les points de vue sur la possibilité d'un rachat divergent. Du côté institutionnel, Glassnode estime qu'une zone de fond probable se situe entre 46 000 et 54 000 dollars, s'appuyant sur des modèles d'évaluation à long terme comme la CVDD. Geoffrey Kendrick de Standard Chartered affirme que le fond est "quasi formé", anticipant de potentielles rachats massifs. Matt Cole de Strive Asset Management voit le test de la moyenne mobile sur 200 semaines comme une opportunité historique d'achat. Cependant, des doutes persistent. Greg Cipolaro de NYDIG souligne que les capitaux sont attirés par le secteur de l'IA, nuisant aux cryptomonnaies, et que la correction actuelle est modérée par rapport aux cycles précédents. Sur les marchés de prédiction, une majorité (72%) estime que le BTC a de fortes chances de descendre sous les 55 000 dollars. Chez les traders, les stratégies divergent radicalement. Le trader Killa considère la baisse comme une "opportunité générationnelle" et a placé 90% de son capital. L'analyste Darkfost indique que le BTC est dans une zone d'extrême sous-évaluation. À l'inverse, le trader Eugene Ng a quitté le marché crypto pour se concentrer sur les actions, ne prévoyant pas de retour tant que la forte corrélation avec les ventes de Bitcoin par l'Allemagne (Strategy) persistera, estimant que les risques ne font que commencer.

marsbitIl y a 41 mins

Des choix divergents après la chute : les institutions achètent le creux, les traders se tournent vers les actions américaines

marsbitIl y a 41 mins

Désendettement en cours pour les actions technologiques : Plutôt que de se précipiter pour acheter au creux, mieux vaut attendre que l'environnement macroéconomique se stabilise

Auteur : qinbafrank Le marché technologique connaît actuellement un désendettement important. La correction récente est principalement due à des hausses excessives à court terme dans l'IA/les semi-conducteurs, une exubérance des marchés (FOMO), une structure de交易 trop concentrée, ainsi qu'à des craintes macroéconomiques (inflation, taux d'intérêt persistants, tensions géopolitiques) et à des liquidités absorbées par des introductions en bourse massives comme SpaceX. Par rapport aux ajustements de fin d'année dernière, la préoccupation actuelle se porte davantage sur le dénominateur (taux, inflation) que sur la remise en question fondamentale de l'IA. Des secteurs comme la mémoire (ex : Micron) ont subi des reculs importants. Bien que la vague de vente intense puisse être en grande partie passée, un rebond immédiat en "V" est peu probable. Le marché devrait plutôt évoluer en consolidation ou en baisse modérée avec une forte volatilité, en attendant des signaux macroéconomiques stabilisateurs. Pour une inversion durable, il faut d'abord que la pression macroéconomique cesse de s'aggraver (CPI, rendements des obligations, ton de la Fed). Une fois le "saignement" macro stoppé, la logique sectorielle de l'IA (pénurie de capacité de calcul, augmentation des investissements) pourrait rapidement reprendre le dessus. En résumé, plutôt que de chercher à acheter au plus bas immédiatement, il est prudent d'attendre que l'environnement macroéconomique montre des signes de stabilisation.

marsbitIl y a 48 mins

Désendettement en cours pour les actions technologiques : Plutôt que de se précipiter pour acheter au creux, mieux vaut attendre que l'environnement macroéconomique se stabilise

marsbitIl y a 48 mins

La chute des actions sud-coréennes et la liquidation mondiale : les fondamentaux des semi-conducteurs ont-ils vraiment changé ?

Le marché boursier sud-coréen a subi une chute brutale, avec le KOSPI touchant le circuit breaker après une baisse de près de 9%. Les géants des semi-conducteurs Samsung Electronics et SK Hynix ont été sévèrement impactés, soulevant des questions sur un éventuel point d'inflexion du marché haussier de l'IA. Cette panique contraste fortement avec la visite simultanée de Jensen Huang, PDG de Nvidia, à Séoul. Il y a renforcé les partenariats, annonçant notamment un nouvel accord pluriannuel avec SK Hynix pour co-développer la mémoire de nouvelle génération pour les data centers d'IA, et a réitéré que l'infrastructure IA n'en est qu'à ses débuts. L'article analyse cette divergence : le marché financier, après une forte hausse, entre dans une phase de réévaluation fine des bénéfices réels de la chaîne d'approvisionnement en IA, ce qui entraîne une volatilité accrue. La Corée du Sud, très exposée via ses champions de la mémoire (HBM), agit comme un "ETF IA" et est donc très sensible aux flux de capitaux mondiaux et aux anticipations sur le cycle. La direction future dépendra des données fondamentales : commandes de Nvidia, dynamique de l'offre et de la demande en HBM, et dépenses d'investissement des hyperscalers. La question centrale est de savoir si la chute reflète un vrai retournement de cycle ou simplement un désendettement sur un trade très encombré. Pour l'instant, le signal des acteurs de l'industrie reste plus optimiste que le prix fixé par le marché.

marsbitIl y a 1 h

La chute des actions sud-coréennes et la liquidation mondiale : les fondamentaux des semi-conducteurs ont-ils vraiment changé ?

marsbitIl y a 1 h

Trump discute avec des entreprises d'IA pour partager les profits, une pression narrative proche du niveau de la révolution industrielle commence

Ces deux dernières années, le marché de l’IA s’est concentré sur une seule question : qui peut gagner le plus d’argent ? Mais une autre interrogation émerge désormais : si l’IA génère des richesses considérables, ces bénéfices doivent-ils revenir uniquement aux entreprises, employés et actionnaires ? Des discussions exploratoires, rapportées par les médias, ont eu lieu entre la Maison Blanche et des entreprises d’IA de premier plan concernant la possibilité de céder volontairement une partie de leurs capitaux propres à un fonds public, sur le modèle du Fonds permanent de l’Alaska. Dans un livre blanc, OpenAI a lui-même proposé la création d’un tel fonds de richesse publique, permettant aux ménages ordinaires de bénéficier de la croissance de l’IA. Des propositions plus radicales, comme celle du sénateur Sanders évoquant une taxe de 50% sur les actions, circulent également, mais restent éloignées d’une adoption politique. L’initiative d’OpenAI peut être vue comme une tentative d’obtenir une « licence sociale » pour son expansion future, en répondant aux craintes concernant l’automatisation et la concentration des richesses. Il s’agit d’anticiper et de gérer le risque politique en proposant un mécanisme contrôlé de partage des bénéfices futurs. Il est crucial de distinguer différents scénarios : une cession volontaire limitée d’intérêts économiques sans droits de vote aurait un impact mesurable, semblable à un coût politique à long terme. Une approche réglementaire plus intrusive, avec des prises de participation obligatoires importantes et une implication dans la gouvernance, modifierait fondamentalement le modèle de valorisation en affectant le contrôle et les incitations à l’innovation. Pour l’instant, cette question en est au stade des discussions préliminaires. Les prochains points d’observation seront : l’adhésion d’autres entreprises leaders, la formalisation éventuelle par l’exécutif américain, la mention de ces risques dans les documents financiers futurs (introductions en bourse), et toute réaction des marchés financiers. En résumé, le marché de l’IA commence non seulement à évaluer la croissance, mais aussi les modalités futures de répartition de ses bénéfices. Si un mécanisme volontaire et limité prévaut, il pourrait s’agir d’une « prime d’assurance » acceptable pour une expansion durable. Un virage vers une imposition coercitive et une ingérence dans la gouvernance représenterait un risque bien plus significatif.

marsbitIl y a 1 h

Trump discute avec des entreprises d'IA pour partager les profits, une pression narrative proche du niveau de la révolution industrielle commence

marsbitIl y a 1 h

Des sommets aux plus bas en deux semaines, pourquoi les actions liées à l'IA se sont-elles soudainement corrigées ?

Les actions liées à l'intelligence artificielle ont connu un net repli après avoir atteint des sommets historiques, entraînant les principaux indices américains à leur plus bas niveau en deux semaines. Le Nasdaq 100 a notamment chuté de plus de 2%. Cette correction s'explique par la prise de bénéfices des investisseurs sur les valeurs technologiques, une perspective de ventes de semiconducteurs de Broadcom jugée décevante, et un changement de secteur. Le marché a été accentué par des données macroéconomiques solides. Le rapport sur l'emploi américain de mai, affichant une création de 172 000 postes (bien au-dessus des attentes), a fait bondir les rendements obligataires. Le taux des bons du Trésor à 10 ans a atteint 4,553%, renforçant les spéculations sur une éventuelle hausse des taux de la Fed. Dans ce contexte, les valeurs des secteurs des puces et de l'IA ont été fortement vendues (Super Micro Computer, ARM, AMD, Nvidia...). Les actions liées aux cryptomonnaies et aux mines ont également chuté, tandis que quelques entreprises comme G-III Apparel ou Cooper Cos ont progressé grâce à de bons résultats. Les marchés européens et asiatiques ont aussi clôturé en baisse.

marsbitIl y a 1 h

Des sommets aux plus bas en deux semaines, pourquoi les actions liées à l'IA se sont-elles soudainement corrigées ?

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow