Le protocole Truebit a confirmé un incident de sécurité impliquant l'un de ses contrats intelligents le 7 janvier. L'exploitation sur la chaîne a entraîné la perte de plus de 8 500 ETH, d'une valeur d'environ 26 à 26,5 millions de dollars aux prix actuels.
Dans une déclaration publiée sur X, Truebit a déclaré avoir identifié une activité malveillante liée au contrat "Truebit Protocol: Purchase" à l'adresse 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2, et a exhorté les utilisateurs à ne pas interagir avec le contrat jusqu'à nouvel ordre.
L'équipe a déclaré travailler avec les forces de l'ordre et fournira des mises à jour par les canaux officiels.
Une faille de tarification a permis des frappes de jetons gratuites
Bien que Truebit n'ait pas encore divulgué les détails techniques de la vulnérabilité, une analyse sur la chaîne indique que l'exploitation provenait d'une défaillance de la logique de tarification dans la fonction getPurchasePrice[uint256] du contrat.
La fonction aurait renvoyé un prix zéro pour des demandes de frappe anormalement importantes, permettant aux attaquants de frapper des jetons sans frais.
En utilisant cette faille, l'attaquant a pu frapper et revendre à plusieurs reprises des jetons dans la courbe de liaison du protocole, drainant les réserves d'ETH par le biais d'une boucle d'achat-vente rapide.
L'une des principales transactions d'exploitation a utilisé une fonction explicitement étiquetée "Attack".
La majorité des fonds volés ont été consolidés dans une seule adresse, une plus petite partie étant acheminée vers un portefeuille secondaire.
Les fonds transitent par Tornado Cash
Peu après l'exploitation, environ la moitié de l'ETH volé a été acheminé via Tornado Cash, selon les registres de transactions.
L'utilisation rapide de services de mixage suggère que l'exploitation était délibérée et pré-planifiée, plutôt qu'opportuniste.
L'effondrement du prix du jeton Truebit TRU
L'exploitation a eu un impact immédiat sur le marché. Le jeton TRU a chuté brusquement suite à l'incident. Il a chuté de plus de 60%, passant d'environ 0,16 $ à 0,005 $ en une seule bougie de 12 heures sur les principales bourses.
La baisse reflète la réaction des traders face à l'ampleur de la perte et à l'incertitude entourant la correction.
L'exploitation reflète une tendance plus large de la criminalité cryptographique
L'incident Truebit survient dans un contexte de hausse plus générale de la criminalité liée à la cryptographie.
Les données de Chainalysis montrent que les transactions illicites de cryptomonnaies ont fortement augmenté en 2025, principalement en raison de fonds volés et d'activités associées à des entités sanctionnées.
Les données ont montré un bond à environ 154 milliards de dollars en 2025.
La tendance souligne comment les attaques à motivation économique continuent de cibler les faiblesses de la logique des contrats intelligents, en particulier celles liées aux mécanismes de tarification et d'émission de jetons.
Au moment de la rédaction, Truebit n'a pas annoncé de plans de récupération ou si les utilisateurs seront indemnisés.
L'équipe a réitéré que les mises à jour seront partagées via ses canaux de communication officiels.
Réflexions finales
- L'exploitation de Truebit met en évidence comment les bugs de tarification et de conditions aux limites restent parmi les risques les plus dangereux pour les contrats intelligents, même sans vecteurs d'attaque complexes.
- L'incident s'ajoute aux preuves croissantes que les exploitations à motivation économique continuent de se développer parallèlement à l'adoption plus large de la cryptographie.
