Протокол Truebit втратив $26 мільйонів через експлойт смарт-контракту: команда підтверджує злом і закликає бути обережними

Truebit Protocol втрачає приблизно $26 мільйонів після складної експлуатації цільової смарт-контракту, що призвело до витоку 8 535 ETH із резервів платформи.

(Джерела: X)

Truebit підтвердив злом у офіційній заяві, радя користувачам уникати будь-яких взаємодій із ураженим контрактом, поки тривають розслідування у співпраці з правоохоронними органами. Цей аналітичний огляд розглядає механізми зламу, наслідки в мережі, офіційну реакцію та ширші наслідки для безпеки застарілих DeFi протоколів станом на 9 січня 2026 року.

Деталі експлуатації: Як Truebit Protocol втрачає резерви

Атака використала вразливість у ціновій механіці п’ятирічного Purchase контракту Truebit (адреса: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2). Недолік дозволив зловмиснику створювати мільярди TRU токенів за мінімальними витратами, а потім багаторазово повторювати цей процес, щоб вивести ETH-запаси.

Фірми з безпеки, зокрема CertiK і PeckShield, у реальному часі зафіксували аномальну активність, при цьому зловмисник розподіляв кошти по кількох гаманцях, залишаючи сліди, що вказують на попередню незначну експлуатацію.

• Вкрадено: 8 535 ETH (~26,44 мільйонів доларів на момент зламу).
• Уразливий контракт: Застарілий механізм Purchase.
• Метод експлуатації: Цикл створення та виведення через цінову помилку.
• Виявлення: Швидкі сповіщення від кількох команд моніторингу.

Офіційна реакція: Truebit підтвердив злом і попереджає

Truebit підтвердив злом через офіційні канали та розкриття Lookonchain, підкреслюючи, що інцидент стосується лише застарілого контракту. Команда одразу закликала користувачів припинити взаємодії та співпрацює з правоохоронними органами для відновлення.

Оновлення будуть публікуватися виключно через перевірені канали, щоб запобігти поширенню дезінформації.

• Заява команди: Негайне визнання та рекомендації щодо безпеки користувачів.
• Правоохоронні органи: Активна співпраця триває.
• Рекомендації для спільноти: Скасувати дозволи на ураженому контракті.
• Прозорість: Обіцяно регулярні офіційні оновлення.

Наслідки в мережі та негайні дії

Після зламу вкрадені ETH були розподілені між кількома адресами, що ускладнює відновлення, але створює сліди для розслідування. Реакція спільноти зосереджена на ризиках у неперевіреному застарілому коді, з закликами до скасування дозволів і оновлень протоколу.

Ціна токена TRU різко зросла, відображаючи занепокоєння ринку щодо виснаження резервів і безперервності розробки.

• Переміщення коштів: Розподілені по гаманцях із зв’язками з попередніми зломами.
• Урок безпеки: Застарілі контракти — постійна вразливість.
• Вплив на ринок: Посилена обережність щодо подібних DeFi примітивів.

Ширші наслідки для безпеки DeFi

Інцидент підкреслює постійні виклики з застарілими смарт-контрактами у довгострокових протоколах. Навіть перевірений код може містити недоліки, коли економічні умови або сценарії використання змінюються.

Truebit підтвердив злом нагадує, що незмінність коду має дві сторони — виправлення вразливостей часто вимагає скоординованих міграцій або оновлень.

• Ризик застарілих контрактів: Необслуговувані контракти як цілі для атак.
• Кращі практики: Регулярні аудити, скасування дозволів, таймлоки.
• Тенденції галузі: Зростаюча увага до оновлюваних або проксі-патернів.

Підсумовуючи, Truebit Protocol втрачає $26 мільйонів через експлуатацію застарілого контракту, а Truebit підтвердив злом зосереджений на захисті користувачів і розслідуванні. Хоча цей інцидент підкреслює ризики DeFi через старий код, прозорість команди та співпраця з правоохоронними органами відкривають шлях до вирішення. Користувачам рекомендується уникати ураженого контракту та слідкувати за офіційними каналами для оновлень щодо відновлення — завжди будьте обережні з дозволами гаманців у децентралізованих протоколах.