Truebit协议于1月7日确认其某个智能合约遭遇安全事件。此次链上漏洞利用导致超过8,500枚ETH损失,按当前价格计算价值约2,600-2,650万美元。
Truebit在X平台发布的声明中表示,已发现地址0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2的"Truebit Protocol: Purchase"合约存在恶意活动,并敦促用户在进一步通知前停止与该合约交互。
团队称正在与执法部门合作,并将通过官方渠道提供更新。
定价漏洞导致免费代币铸造
虽然Truebit尚未披露漏洞技术细节,链上分析表明漏洞源于合约getPurchasePrice[uint256]函数中的定价逻辑故障。
据报告,该函数对异常大额铸造请求返回零价格,使得攻击者能够零成本铸造代币。
利用此缺陷,攻击者通过快速买卖循环反复铸造代币并售回协议绑定曲线,从而耗尽ETH储备。
其中一笔主要漏洞利用交易使用了明确标注为"Attack"的函数。
大部分被盗资金被整合至单个地址,少量资金转移至次要钱包。
资金通过Tornado Cash转移
交易记录显示,漏洞发生后不久,约半数被盗ETH通过Tornado Cash转移。
快速使用混币服务表明此次漏洞利用具有预谋性而非机会主义。
Truebit TRU代币价格暴跌
漏洞利用立即引发市场震荡。TRU代币在事件发生后急剧下跌,在主要交易所的12小时K线中从0.16美元暴跌逾60%至0.005美元。
暴跌反映了交易者对损失规模及补救方案不确定性的反应。
漏洞事件反映加密犯罪趋势
Truebit事件正值加密相关犯罪广泛上升之际。
Chainalysis数据显示,2025年非法加密货币交易量激增,主要驱动因素为资金盗窃和受制裁实体的相关活动。
数据显示2025年非法交易额跃升至约1,540亿美元。
该趋势表明经济动机攻击持续瞄准智能合约逻辑缺陷,特别是与定价和代币发行机制相关的漏洞。
截至发稿时,Truebit尚未公布资金回收计划或用户补偿方案。
团队重申将通过官方渠道发布更新信息。
最终结论
- Truebit漏洞事件表明,即使没有复杂攻击向量,定价和边界条件错误仍是最危险的智能合约风险之一
- 该事件进一步证明,随着加密技术更广泛采用,经济动机的漏洞利用规模持续扩大
