Giao thức Truebit đã xác nhận một sự cố bảo mật liên quan đến một trong các hợp đồng thông minh của họ vào ngày 7 tháng 1. Vụ khai thác trên chuỗi đã dẫn đến tổn thất hơn 8.500 ETH, trị giá khoảng 26–26,5 triệu USD theo giá hiện tại.
Trong một tuyên bố đăng trên X, Truebit cho biết họ đã xác định được hoạt động độc hại liên quan đến hợp đồng “Truebit Protocol: Purchase” tại địa chỉ 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 và kêu gọi người dùng không tương tác với hợp đồng cho đến khi có thông báo mới.
Nhóm cho biết họ đang làm việc với cơ quan thực thi pháp luật và sẽ cung cấp thông tin cập nhật qua các kênh chính thức.
Lỗi định giá cho phép đúc token miễn phí
Mặc dù Truebit chưa tiết lộ chi tiết kỹ thuật về lỗ hổng, phân tích trên chuỗi chỉ ra rằng vụ khai thác bắt nguồn từ lỗi logic định giá trong hàm getPurchasePrice[uint256] của hợp đồng.
Hàm này được báo cáo là trả về giá bằng 0 cho các yêu cầu đúc token lớn bất thường, cho phép kẻ tấn công đúc token mà không mất chi phí.
Sử dụng lỗ hổng này, kẻ tấn công đã có thể liên tục đúc và bán token trở lại vào đường cong liên kết (bonding curve) của giao thức, rút cạn kho dự trữ ETH thông qua một vòng lặp mua-bán nhanh.
Một trong các giao dịch khai thác chính đã sử dụng một hàm được dán nhãn rõ ràng là “Tấn công” (Attack).
Phần lớn số tiền bị đánh cắp được hợp nhất vào một địa chỉ duy nhất, với một phần nhỏ hơn được chuyển hướng đến một ví thứ cấp.
Tiền được chuyển qua Tornado Cash
Theo hồ sơ giao dịch, ngay sau vụ khai thác, khoảng một nửa số ETH bị đánh cắp đã được chuyển hướng qua Tornado Cash.
Việc sử dụng nhanh chóng các dịch vụ trộn tiền cho thấy vụ khai thác có chủ đích và được lên kế hoạch trước, hơn là cơ hội.
Giá token TRU của Truebit sụp đổ
Vụ khai thác đã có tác động ngay lập tức đến thị trường. Token TRU đã giảm mạnh sau sự cố. Nó đã giảm hơn 60%, từ khoảng 0,16 USD xuống còn 0,005 USD trong một nến 12 giờ duy nhất trên các sàn giao dịch lớn.
Mức giảm phản ánh phản ứng của các nhà giao dịch trước quy mô tổn thất và sự không chắc chắn xung quanh biện pháp khắc phục.
Vụ khai thác phản ánh xu hướng rộng hơn trong tội phạm tiền mã hóa
Sự cố Truebit diễn ra trong bối cảnh tội phạm liên quan đến tiền mã hóa gia tăng rộng rãi.
Dữ liệu từ Chainalysis cho thấy các giao dịch tiền mã hóa bất hợp pháp đã tăng mạnh vào năm 2025, chủ yếu do quỹ bị đánh cắp và hoạt động liên quan đến các thực thể bị trừng phạt thúc đẩy.
Dữ liệu cho thấy mức tăng lên khoảng 154 tỷ USD vào năm 2025.
Xu hướng này làm nổi bật cách các cuộc tấn công có động cơ kinh tế tiếp tục nhắm vào các điểm yếu trong logic hợp đồng thông minh, đặc biệt là những điểm gắn liền với cơ chế định giá và phát hành token.
Tại thời điểm viết bài, Truebit chưa công bố kế hoạch khôi phục hoặc liệu người dùng có được bồi thường đầy đủ hay không.
Nhóm đã nhắc lại rằng các thông tin cập nhật sẽ được chia sẻ qua các kênh liên lạc chính thức của mình.
Suy nghĩ cuối cùng
- Vụ khai thác Truebit làm nổi bật cách các lỗi định giá và điều kiện biên vẫn nằm trong số những rủi ro hợp đồng thông minh nguy hiểm nhất, ngay cả khi không có vector tấn công phức tạp.
- Sự cố này bổ sung thêm bằng chứng ngày càng tăng cho thấy các vụ khai thác có động cơ kinh tế tiếp tục mở rộng quy mô song song với việc áp dụng tiền mã hóa rộng rãi hơn.
