Протокол Truebit теряет $26 миллионов из-за уязвимости в смарт-контракте: команда подтверждает взлом и призывает к осторожности

Truebit Protocol теряет примерно $26 миллионов после сложной эксплуатации унаследованного смарт-контракта, в результате которой с платформы было выведено 8 535 ETH.

(Источники: X)

Truebit подтвердил взлом в официальном заявлении, рекомендовав пользователям воздержаться от взаимодействий с затронутым контрактом до завершения расследования в сотрудничестве с правоохранительными органами. Этот аналитический обзор рассматривает механизмы взлома, последствия в блокчейне, официальную реакцию и более широкие последствия для безопасности унаследованных DeFi-протоколов по состоянию на 9 января 2026 года.

Детали эксплуатации: как Truebit Protocol теряет резервы

Атака использовала уязвимость в ценообразовании в пятилетнем контракте Purchase (адрес: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2). Уязвимость позволила злоумышленнику создавать миллиарды токенов TRU по минимальной стоимости, а затем многократно повторять процесс для вывода ETH из резервов.

Компании по безопасности, такие как CertiK и PeckShield, в реальном времени отметили аномальную активность, при этом злоумышленник распределял средства по нескольким кошелькам, оставляя следы, связанные с предыдущей мелкой эксплуатацией.

• Украденная сумма: 8 535 ETH (~26,44 миллиона долларов на момент взлома).
• Уязвимый контракт: Унаследованный механизм Purchase.
• Метод эксплуатации: цикл создания и вывода через ошибку ценообразования.
• Обнаружение: быстрые оповещения от нескольких команд мониторинга.

Официальная реакция: Truebit подтвердил взлом и выпустил предупреждения

Truebit подтвердил взлом через официальные каналы и раскрытия Lookonchain, подчеркнув, что инцидент ограничен унаследованным контрактом. Команда немедленно призвала пользователей прекратить взаимодействия и сотрудничает с правоохранительными органами для восстановления средств.

Обновления будут публиковаться исключительно через проверенные каналы, чтобы предотвратить распространение дезинформации.

• Заявление команды: немедленное признание и рекомендации по безопасности пользователей.
• Правоохранительные органы: активное сотрудничество продолжается.
• Руководство сообществу: отмена разрешений на затронутом контракте.
• Обещание прозрачности: регулярные официальные обновления.

Последствия в блокчейне и немедленные последствия

После эксплуатации украденные ETH были разбросаны по различным адресам, что усложняет возврат средств, но оставляет следы для криминалистики. Реакция сообщества сосредоточена на рисках в неаудированном унаследованном коде, с призывами к отзыву разрешений и обновлению протокола.

Цена токена TRU резко отреагировала, отражая опасения рынка по поводу истощения резервов и продолжения разработки.

• Перемещение средств: разброс по кошелькам с связями с предыдущими эксплойтами.
• Урок безопасности: унаследованные контракты как постоянные уязвимости.
• Влияние на рынок: повышенная осторожность при использовании подобных DeFi-примитивов.

Более широкие последствия для безопасности DeFi

Инцидент подчеркивает постоянные проблемы с устаревшими смарт-контрактами в протоколах с длительным сроком работы. Даже проверенный код может содержать уязвимости, если экономические условия или модели использования меняются.

Truebit подтвердил взлом служит напоминанием о том, что неизменяемость — это двойной меч: исправление уязвимостей зачастую требует скоординированных миграций или обновлений.

• Риск унаследованных контрактов: неподдерживаемые контракты как точки атаки.
• Лучшие практики: регулярные аудиты, отзыв разрешений, таймлоки.
• Тенденции отрасли: растущий акцент на обновляемых или прокси-контрактах.

В целом, Truebit Protocol теряет $26 миллионов из-за эксплуатации унаследованного контракта, а Truebit подтвердил взлом — реакция ориентирована на защиту пользователей и расследование. Хотя взлом подчеркивает постоянные риски DeFi, связанные с устаревшим кодом, прозрачность команды и взаимодействие с правоохранительными органами создают путь к разрешению ситуации. Пользователям рекомендуется избегать взаимодействий с скомпрометированным контрактом и следить за официальными каналами для получения обновлений о восстановлении — всегда проявляйте осторожность при предоставлении разрешений кошельков в децентрализованных протоколах.