A Calculation Vulnerability Led to the Theft of 8,535 ETH from Truebit

marsbitОпубліковано о 2026-01-13Востаннє оновлено о 2026-01-13

Анотація

On January 8, 2026, the Truebit Protocol was exploited, resulting in a loss of 8,535.36 ETH (approximately $26.44 million). The attack involved a critical integer overflow vulnerability in the token purchase price calculation function. The attacker executed four rounds of transactions by calling functions getPurchasePrice, 0xa0296215, and 0xc471b10b. In the first round, the attacker called getPurchasePrice with a large input value (240442509453545333947284131), which returned 0 due to an arithmetic flaw. Then, they invoked function 0xa0296215 with msg.value = 0, successfully minting a massive amount of TRU tokens. Finally, by calling function 0xc471b10b, they burned the minted tokens and received 5,105.06 ETH. The root cause was an unchecked addition operation (v12 + v9) in the price calculation logic (function 0x1446), which overflowed to a small value, making (v12 + v9) / v6 = 0. The contract used Solidity ^0.6.10 without overflow checks, enabling the exploit. This incident highlights the risks of older DeFi protocols with unpatched vulnerabilities, possibly identified through AI-assisted scanning. Projects are advised to conduct security audits, upgrade contracts, and monitor链上 activity to mitigate such threats.

On January 8, 2026, the Truebit Protocol was hacked, resulting in a loss of 8,535.36 ETH (approximately $26.44 million). The Truebit Protocol officially confirmed the incident in the early hours of the following day. The ExVul security team conducted a detailed analysis of the vulnerability, with the results as follows:

Attack Process

Attacker's address:

0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50

Attack transaction hash:

0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

The attacker completed the attack by cyclically calling getPurchasePrice→0xa0296215→0xc471b10b for four rounds. The first cycle is analyzed as an example.

1. The attacker first called the getPurchasePrice(240442509453545333947284131) function, which returned 0.

2. The attacker called the 0xa0296215(c6e3ae8e2cbab1298abaa3) function with msg.value as 0. Finally, 240442509453545333947284131 TRU were successfully minted.

3. The attacker called the 0xc471b10b(c6e3ae8e2cbab1298abaa3) function. Finally, 240442509453545333947284131 TRU were burned, and 5105.06 ETH were obtained.

Attack Logic Analysis

By understanding the above attack process, it is clear that there is an issue with the logic of the getPurchasePrice function and the 0xa0296215 function. The following is an in-depth analysis (since the contract is not open source, the code below is decompiled).

By comparing the common points of the two functions, we can see that the 0x1446 function is used to calculate how much ETH is needed to purchase a specified amount of TRU. Clearly, the logic of the 0x1446 function is flawed, leading to an incorrect ETH calculation. The logic within the 0x1446 function is analyzed in detail below.

Observing the logic in the 0x1446 function, since the final calculation result v13 == 0, the calculation logic mentioned above must be problematic. It is important to note that the 0x18ef function is the same as _SafeMul, so the issue lies in the native addition v12 + v9 (the contract version is ^0.6.10, so there is no overflow check).

v12 and v9 represent:

Based on the above analysis, the attacker's strategy was to input a huge _amountIn to cause v12 + v9 to overflow into a very small value, ultimately resulting in (v12 + v9) / v6 == 0.

Summary

The root cause of the Truebit Protocol attack is a severe integer overflow vulnerability in its token purchase price calculation logic. Since the contract uses Solidity ^0.6.10 and lacks safety checks for critical arithmetic operations, it ultimately led to a significant loss of 8,535.36 ETH. The latest versions of Solidity have already mitigated overflow vulnerabilities. This attack was likely discovered by hackers using AI to automatically scan older DeFi protocols that are already live (including recent attacks on Balancer and yETH). We believe such attacks exploiting AI to target older DeFi protocols will become increasingly common in the near future. Therefore, we recommend that project teams conduct new security audits of their contract code. If vulnerabilities are found, they should upgrade the contract or transfer assets as soon as possible, and implement on-chain monitoring to detect anomalies promptly and minimize losses.

Пов'язані питання

QWhat was the main vulnerability exploited in the Truebit Protocol attack?

AThe main vulnerability was an integer overflow issue in the token purchase price calculation logic, specifically in the `getPurchasePrice` function, which allowed the attacker to manipulate calculations and mint a large number of TRU tokens without paying the required ETH.

QHow much ETH was stolen in the Truebit Protocol attack?

A8,535.36 ETH, which was approximately equivalent to $26.44 million at the time of the attack.

QWhat was the attacker's address involved in the Truebit exploit?

AThe attacker's address was 0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50.

QWhich Solidity version was the Truebit Protocol contract using, and why was it significant?

AThe contract was using Solidity ^0.6.10, which did not have built-in overflow checks for arithmetic operations. This lack of safety checks allowed the integer overflow vulnerability to be exploited.

QWhat was the key step the attacker took to trigger the integer overflow vulnerability?

AThe attacker input a very large value for `_amountIn` in the `getPurchasePrice` function, causing the calculation `v12 + v9` to overflow and result in a very small value, ultimately making `(v12 + v9) / v6` equal to zero, which allowed minting tokens without cost.

Пов'язані матеріали

This Key Metric Shows Bitcoin Is Approaching A Crucial Confluence Zone

bitcoinist59 хв тому

The Latest On The CLARITY Act?—Restrictions On Trump’s Crypto Role Being Discussed

bitcoinist2 год тому

Diminishing Cycle Analysis That Forecasted Bitcoin Top Above $120,000 Has Set The Bottom Price

bitcoinist3 год тому

Here’s What Happened In The Donald Trump Crypto Meeting With $TRUMP Holders

bitcoinist7 год тому

MSTR STRC 深度研究：11.5% 收益率背后的 BTC 融资飞轮

marsbit8 год тому

Торгівля

Спот

Ф'ючерси

Популярні статті

Що таке ETH 2.0

ETH 2.0: Нова ера для Ethereum Вступ ETH 2.0, широко відомий як Ethereum 2.0, є величезним оновленням для блокчейну Ethereum. Ця трансформація не є лише косметичною зміною; вона має на меті фундаментально покращити масштабованість, безпеку та сталий розвиток мережі. З переходом від енергомісткого механізму консенсусу Proof of Work (PoW) до більш ефективного Proof of Stake (PoS), ETH 2.0 обіцяє трансформаційний підхід до екосистеми блокчейнів. Що таке ETH 2.0? ETH 2.0 — це збірка особливих, взаємопов’язаних оновлень, спрямованих на оптимізацію можливостей та продуктивності Ethereum. Це перетворення розроблене для вирішення критичних викликів, з якими стикалося існуюче механізм Ethereum, зокрема щодо швидкості транзакцій та заторів у мережі. Мета ETH 2.0 Основні цілі ETH 2.0 зосереджені на покращенні трьох ключових аспектів: Масштабованість: Мета — значно підвищити кількість транзакцій, які мережа може обробити за секунду; ETH 2.0 прагне вийти за межі поточного обмеження приблизно в 15 транзакцій на секунду, потенційно досягнувши тисяч. Безпека: Підвищені заходи безпеки є невід’ємною частиною ETH 2.0, зокрема через покращену стійкість до кібератак і збереження децентралізованої етики Ethereum. Сталий розвиток: Новий механізм PoS розроблений не тільки для підвищення ефективності, але й для різкого зменшення споживання енергії, що узгоджує операційну структуру Ethereum з екологічними міркуваннями. Хто є творцем ETH 2.0? Створення ETH 2.0 можна віднести до Ethereum Foundation. Ця неприбуткова організація, яка відіграє важливу роль у підтримці розвитку Ethereum, очолюється відомим співавтором Віталіком Бутеріним. Його бачення більш масштабованого та стійкого Ethereum стало рушійною силою цього оновлення, залучаючи внески зі всього світу від розробників і ентузіастів, які прагнуть покращити протокол. Хто є інвесторами ETH 2.0? Хоча подробиці про інвесторів ETH 2.0 не були оприлюднені, відомо, що Ethereum Foundation отримує підтримку від різних організацій та осіб у сфері блокчейну та технологій. Ці партнери включають венчурні капітальні компанії, технологічні компанії та філантропічні організації, які мають спільний інтерес у підтримці розвитку децентралізованих технологій та інфраструктури блокчейну. Як працює ETH 2.0? ETH 2.0 відзначається введенням низки ключових функцій, які відрізняють його від попередника. Proof of Stake (PoS) Перехід до механізму консенсусу PoS є одним із знакових змін ETH 2.0. На відміну від PoW, який покладається на енергомісткий видобуток для перевірки транзакцій, PoS дозволяє користувачам підтверджувати транзакції та створювати нові блоки відповідно до кількості ETH, яку вони ставлять у мережі. Це призводить до підвищення енергоефективності, зменшуючи споживання приблизно на 99,95%, завдяки чому Ethereum 2.0 стає значно більш екологічною альтернативою. Шардові ланцюги Шардові ланцюги є ще одним ключовим нововведенням ETH 2.0. Ці менші ланцюги працюють паралельно з основним ланцюгом Ethereum, що дозволяє обробляти кілька транзакцій одночасно. Це підходи покращує загальну ємність мережі, усуваючи проблеми масштабованості, які переслідували Ethereum. Beacon Chain У центрі ETH 2.0 знаходиться Beacon Chain, яка координує мережу і управляє протоколом PoS. Вона виконує роль організатора: контролює валідаторів, забезпечує з’єднання шард з мережею і моніторить загальний стан екосистеми блокчейнів. Хронологія ETH 2.0 Шлях ETH 2.0 характеризується кількома ключовими етапами, які відображають еволюцію цього значного оновлення: Грудень 2020: Запуск Beacon Chain ознаменував введення PoS, проклавши шлях до міграції на ETH 2.0. Вересень 2022: Завершення "Злиття" є знаковим моментом, коли мережа Ethereum успішно перейшла з PoW на PoS, відкриваючи нову еру для Ethereum. 2023: Очікуване розгортання шардових ланцюгів має на меті подальше покращення масштабованості мережі Ethereum, закріплюючи ETH 2.0 як надійну платформу для децентралізованих додатків і послуг. Ключові особливості та переваги Покращена масштабованість Однією з найзначніших переваг ETH 2.0 є його покращена масштабованість. Поєднання PoS та шардових ланцюгів дозволяє мережі розширити свою ємність, що дозволяє їй обробляти набагато більший обсяг транзакцій в порівнянні з класичною системою. Енергоефективність Запровадження PoS є величезним кроком до енергоефективності в технології блокчейн. Значно зменшуючи споживання енергії, ETH 2.0 не тільки знижує операційні витрати, але також ближче узгоджується з глобальними цілями сталого розвитку. Підвищена безпека Оновлені механізми ETH 2.0 сприяють підвищенню безпеки по всій мережі. Впровадження PoS, поряд з інноваційними контрольними заходами, встановленими через шардові ланцюги та Beacon Chain, забезпечує вищий рівень захисту від потенційних загроз. Зниження витрат для користувачів З покращенням масштабованості вплив на витрати на транзакції також стане очевидним. Збільшена ємність і зменшені затори, як очікується, призведуть до зниження зборів для користувачів, що зробить Ethereum більш доступним для повсякденних транзакцій. Висновок ETH 2.0 є значною еволюцією в екосистемі блокчейну Ethereum. Оскільки він вирішує важливі питання, такі як масштабованість, споживання енергії, ефективність транзакцій і загальна безпека, важливість цього оновлення не можна недооцінювати. Перехід до Proof of Stake, введення шардових ланцюгів і фундаментальна робота Beacon Chain свідчать про майбутнє, в якому Ethereum може задовольнити зростаючі вимоги децентралізованого ринку. В індустрії, що рухається вперед завдяки інноваціям та прогресу, ETH 2.0 є підтвердженням можливостей технології блокчейн у прокладенні шляху до більш сталого та ефективного цифрового економіки.

168 переглядів усьогоОпубліковано 2024.04.04Оновлено 2024.12.03

Що таке ETH 3.0

ETH3.0 та $eth 3.0: Глибоке дослідження майбутнього Ethereum Вступ У швидко змінюваному світі криптовалют та технології блокчейн, ETH3.0, часто позначуваний як $eth 3.0, став темою значного інтересу та спекуляцій. Цей термін охоплює два основні концепти, які потребують уточнення: Ethereum 3.0: Це потенційне майбутнє оновлення, яке має на меті покращення можливостей існуючого блокчейну Ethereum, зокрема, фокусуючись на поліпшенні масштабованості та продуктивності. ETH3.0 Мем Токен: Цей окремий криптовалютний проект прагне використовувати блокчейн Ethereum для створення екосистеми, орієнтованої на меми, сприяючи залученню до криптовалютної громади. Розуміння цих аспектів ETH3.0 є важливим не лише для криптоентузіастів, але й для тих, хто спостерігає за широкими технологічними тенденціями у цифровому просторі. Що таке ETH3.0? Ethereum 3.0 Ethereum 3.0 пропонується як оновлення вже існуючої мережі Ethereum, яка стала основою багатьох децентралізованих додатків (dApps) та смарт-контрактів з моменту свого виникнення. Передбачувані удосконалення зосереджені в основному на масштабованості — інтегруючи передові технології, такі як шардінг та нульові знання (zk-докази). Ці технологічні нововведення націлені на забезпечення безпрецедентної кількості транзакцій на секунду (TPS), потенційно досягаючи мільйонів, тим самим вирішуючи одну з найзначніших обмежень, з якими стикається сучасна технологія блокчейн. Покращення є не лише технічним, а й стратегічним; воно спрямоване на підготовку мережі Ethereum до широкого прийняття та корисності в майбутньому, позначеному збільшеним попитом на децентралізовані рішення. ETH3.0 Мем Токен На відміну від Ethereum 3.0, ETH3.0 Мем Токен пропонує легшу та грайливішу домену, поєднуючи культуру інтернет-мемів із динамікою криптовалют. Цей проект дозволяє користувачам купувати, продавати та обмінювати меми на блокчейні Ethereum, надаючи платформу, яка сприяє залученню громади через креативність та спільні інтереси. ETH3.0 Мем Токен має на меті продемонструвати, як технологія блокчейн може перетинатися з цифровою культурою, створюючи випадки використання, які є водночас розважальними та фінансово життєздатними. Хто є творцем ETH3.0? Ethereum 3.0 Ініціатива щодо Ethereum 3.0 переважно підтримується консорціумом розробників та дослідників у межах громади Ethereum, зокрема, до складу якого входить Джастін Дрейк. Відомий своїми думками та внеском у розвиток Ethereum, Дрейк є помітною особистістю в обговореннях щодо переходу Ethereum на новий рівень консенсусу, який називається «Beam Chain». Цей колабораційний підхід до розробки свідчить про те, що Ethereum 3.0 не є продуктом єдиного творця, а скоріше втіленням колективної винахідливості, спрямованої на просування технології блокчейн. ETH3.0 Мем Токен Деталі про творця ETH3.0 Мем Токена наразі не відстежуються. Природа мем-токенів часто призводить до більш децентралізованої та громартової структури, що може пояснити відсутність специфічної атрибуції. Це узгоджується з етикою ширшої крипто-спільноти, де інновації часто виникають з колективних, а не індивідуальних зусиль. Хто є інвесторами ETH3.0? Ethereum 3.0 Підтримка Ethereum 3.0 переважно надходить від Фонду Ethereum поряд з ентузіастичною спільнотою розробників та інвесторів. Це базове співробітництво надає значний градус легітимності та підвищує ймовірність успішної реалізації, оскільки воно використовує довіру та авторитет, накопичені за роки роботи мережі. У швидко змінюваному кліматі криптовалют підтримка громади займає важливу роль у розвитку та прийнятті, позиціонуючи Ethereum 3.0 як серйозного конкурента для майбутніх блокчейн-інновацій. ETH3.0 Мем Токен Хоча наразі доступні джерела не надають явної інформації щодо інвестиційних фондів або організацій, що підтримують ETH3.0 Мем Токен, це свідчить про типову модель фінансування для мем-токенів, яка часто спирається на підтримку знизу та залучення громади. Інвестори в такі проекти зазвичай складаються з осіб, які мотивовані потенціалом інновацій, що керуються спільнотою, та духом співпраці, притаманним крипто-спільноті. Як працює ETH3.0? Ethereum 3.0 Відмінні риси Ethereum 3.0 полягають у його запропонованій реалізації технології шардінгу та zk-proof. Шардінг — це метод розподілу блокчейну на менші, керовані частини чи «шарди», які можуть обробляти транзакції одночасно, а не послідовно. Це децентралізоване оброблення допомагає запобігти заторам та забезпечити оперативність мережі навіть під великим навантаженням. Технологія нульових доказів (zk-proof) надає ще один рівень складності, дозволяючи валідацію транзакцій без розкриття підпорядкованих даних. Цей аспект не лише підвищує конфіденційність, а й збільшує загальну ефективність мережі. Також обговорюється включення нульової Ефірної віртуальної машини (zkEVM) в це оновлення, що ще більше підвищить можливості та корисність мережі. ETH3.0 Мем Токен ETH3.0 Мем Токен виділяється завдяки використанню популярності культури мемів. Він створює ринок, на якому користувачі можуть брати участь у торгівлі мемами не лише для розваги, але й для потенційного економічного вигоди. Інтегруючи функції, такі як стейкінг, забезпечення ліквідності та механізми управління, проект сприяє створенню середовища, яке заохочує взаємодію та участь громади. Пропонуючи унікальне поєднання розваг та економічних можливостей, ETH3.0 Мем Токен прагне залучити різну аудиторію, яка охоплює від криптоентузіастів до casual-консумерів мемів. Хронологія ETH3.0 Ethereum 3.0 11 листопада 2024: Джастін Дрейк натякає на майбутнє оновлення ETH 3.0, яке зосереджене на поліпшеннях масштабованості. Це оголошення означає початок формальних обговорень щодо майбутньої архітектури Ethereum. 12 листопада 2024: Очікується, що запропоновану пропозицію для Ethereum 3.0 буде представлено на Devcon у Бангкоку, що готує ґрунт для більш широкого зворотного зв'язку від громади та потенційних наступних кроків у розвитку. ETH3.0 Мем Токен 21 березня 2024: ETH3.0 Мем Токен офіційно потрапляє у список на CoinMarketCap, що означає його дебют у публічному крипто-просторі та підвищує видимість для його меморієнтованої екосистеми. Ключові моменти На завершення, Ethereum 3.0 представляє значну еволюцію в межах мережі Ethereum, зосереджуючись на подоланні обмежень щодо масштабованості та продуктивності через передові технології. Його запропоновані оновлення відображають проактивний підхід до майбутніх вимог і корисності. Натомість ETH3.0 Мем Токен втілює суть культури, керованої громадою, у сфері криптовалют, використовуючи культуру мемів для створення привабливих платформ, які заохочують творчість і участь користувачів. Розуміння окремих цілей і функцій ETH3.0 та $eth 3.0 є надзвичайно важливим для кожного, хто цікавиться поточними подіями в крипто-просторі. З обома ініціативами, які прокладають унікальні шляхи, вони разом підкреслюють динамічну та багатогранну природу інновацій у блокчейн-технологіях.

158 переглядів усьогоОпубліковано 2024.04.04Оновлено 2024.12.03

Як купити ETH

Ласкаво просимо до HTX.com! Ми зробили покупку Ethereum (ETH) простою та зручною. Дотримуйтесь нашої покрокової інструкції, щоб розпочати свою криптовалютну подорож.Крок 1: Створіть обліковий запис на HTXВикористовуйте свою електронну пошту або номер телефону, щоб зареєструвати обліковий запис на HTX безплатно. Пройдіть безпроблемну реєстрацію й отримайте доступ до всіх функцій.ЗареєструватисьКрок 2: Перейдіть до розділу Купити крипту і виберіть спосіб оплатиКредитна/дебетова картка: використовуйте вашу картку Visa або Mastercard, щоб миттєво купити Ethereum (ETH).Баланс: використовуйте кошти з балансу вашого рахунку HTX для безперешкодної торгівлі.Треті особи: ми додали популярні способи оплати, такі як Google Pay та Apple Pay, щоб підвищити зручність.P2P: Торгуйте безпосередньо з іншими користувачами на HTX.Позабіржова торгівля (OTC): ми пропонуємо індивідуальні послуги та конкурентні обмінні курси для трейдерів.Крок 3: Зберігайте свої Ethereum (ETH)Після придбання Ethereum (ETH) збережіть його у своєму обліковому записі на HTX. Крім того, ви можете відправити його в інше місце за допомогою блокчейн-переказу або використовувати його для торгівлі іншими криптовалютами.Крок 4: Торгівля Ethereum (ETH)Легко торгуйте Ethereum (ETH) на спотовому ринку HTX. Просто увійдіть до свого облікового запису, виберіть торгову пару, укладайте угоди та спостерігайте за ними в режимі реального часу. Ми пропонуємо зручний досвід як для початківців, так і для досвідчених трейдерів.

2.8k переглядів усьогоОпубліковано 2024.12.10Оновлено 2025.03.21

Обговорення

Ласкаво просимо до спільноти HTX. Тут ви можете бути в курсі останніх подій розвитку платформи та отримати доступ до професійної ринкової інформації. Нижче представлені думки користувачів щодо ціни ETH (ETH).