Truebit协议已确认其智能合约于1月7日发生安全事件。链上漏洞导致超过8500个ETH被盗,按当前价格计算,损失约2600万至2650万美元。
Truebit团队在X上发布声明,已发现与地址 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 处“Truebit Protocol: Purchase”合约相关的恶意活动,并敦促用户在另行通知前不要与该合约交互。团队表示正在与执法部门合作。
定价缺陷导致免费代币铸造
链上分析表明,漏洞源于合约getPurchasePrice[uint256]函数中的定价逻辑错误。该函数对异常大的铸币请求返回零价格,使攻击者能够免费铸造代币。
攻击者利用此漏洞,反复铸造代币并将其出售回协议的绑定曲线,通过快速买卖循环耗尽了ETH储备。大部分被盗资金被集中到一个地址。
资金通过Tornado Cash转移
漏洞利用发生后不久,约一半被盗的ETH通过Tornado Cash进行交易。快速使用混币服务表明,此次攻击是蓄意且预先计划好的。
TRU代币价格暴跌
事件发生后,TRU代币价格在12小时内从约0.16美元暴跌至0.005美元,跌幅超过60%。价格下跌反映了市场对损失规模和补救措施不确定性的反应。
事件背景与趋势
Truebit事件发生之际,加密货币相关犯罪呈上升趋势。Chainalysis数据显示,2025年非法加密货币交易额大幅增加,主要原因是被盗资金和与受制裁实体相关的活动。
这一趋势凸显了经济动机攻击持续针对智能合约逻辑中的弱点,特别是与定价和代币发行机制相关的部分。
截至发稿时,Truebit尚未公布恢复计划或赔偿方案,并表示最新消息将通过官方渠道发布。
