Truebit 漏洞在攻擊者濫用仍與活躍流動性池相連的遺留智能合約後,已經耗資超過 $26 百萬。
TRU 代幣在數小時內崩跌至接近零,恐慌性拋售在市場蔓延,流動性迅速消失。
這起事件顯示,儘管經過多年協議升級,過時的 DeFi 合約仍然是主要的安全風險。
Truebit 協議在星期四遭遇重大安全漏洞,導致2026年記錄中最劇烈的代幣崩盤之一。鏈上數據確認攻擊者已經提取約 8,535 以太幣,價值接近 2660 萬美元。
Truebit 的 TRU 代幣在一次漏洞後暴跌近 100%,攻擊者從其儲備中提取約 8,535 以太幣,價值約 2660 萬美元。
攻擊利用一個較舊智能合約中的漏洞,使攻擊者能以零成本購買 TRU 並將其賣回以提取以太幣。pic.twitter.com/gWn5sgCJ1Q
— TheCryptoBasic (@thecryptobasic) 2026年1月9日
隨著漏洞展開,TRU 代幣在數小時內從約 0.16 美元崩跌至接近零。突如其來的下跌引發恐慌性拋售,並擾亂了多個交易場所的流動性。市場參與者在短時間內難以反應,波動性迅速升高。
調查人員追蹤到這次漏洞源自一個仍連接到活躍流動性池的過時智能合約。該合約存在一個定價錯誤,使攻擊者能以零成本鑄造 TRU 代幣。利用此漏洞,攻擊者反覆買入並賣出 TRU,以從協議儲備中提取以太幣。此外,快速的交易排序幫助繞過了以太坊網絡的早期安全措施。這些條件使得漏洞能在被發現前迅速擴大。
鏈上監控工具在漏洞開始後不久便標記出異常交易模式。分析師觀察到一些交易與正常協議活動不符。此外,一個錢包在數分鐘內收到了大部分被提取的以太幣。攻擊者還利用小額建構者賄賂來獲取區塊優先權。因此,該漏洞在多個區塊中實現了高速提取。
進一步調查揭示,這次攻擊依賴於幾年前嵌入的有缺陷的鑄幣函數。該漏洞代碼追溯到近五年前,並在多次協議升級中存活下來。開發者在之前的網絡轉型中從未停用這些舊的權限。結果,遺留合約仍然可以訪問流動性池。這一疏忽為熟悉歷史部署的攻擊者提供了進入點。
區塊鏈研究人員還發現,兩個攻擊者在漏洞期間有活動。一個地址從協議中獲取了約 $26 百萬美元的以太幣。另一個地址在後來識別出弱點後獲得約 25 萬美元。同時,投機交易者似乎在波動期間監控 mempool 數據。這些互動使鏈上活動變得更加複雜。
Truebit 團隊在發現後不久便表示已知悉安全事件,並提醒用戶不要與受影響的合約地址互動。開發者也聯繫了執法部門並展開內部調查。然而,他們在初步反應中未立即確認合約已暫停。這種不確定性加劇了市場焦慮。
隨著流動性在交易平台上迅速蒸發,拋售壓力加劇。TRU 代幣幾乎跌至零,許多持有者無法退出持倉。薄弱的訂單簿使套利流動受阻,損失進一步擴大。數年的市值在數小時內化為烏有。這次崩盤凸顯了信心流失的速度。
Truebit 事件是去中心化金融安全失敗案例日益增加的縮影。安全公司報告指出,攻擊者越來越多地針對較舊合約中被遺忘的權限。協議開發常常追不上對遺留部署的全面審計,因此,嵌入多年前的錯誤邏輯可能長期未被察覺。這些漏洞持續對整個行業構成系統性風險。
近期事件中,類似的模式在主要平台上屢見不鮮。Balancer 因四捨五入錯誤損失超過 $120 百萬美元。Bunni 和 Nemo 也披露了與過時邏輯相關的合約提取事件。另有,Kontigo 發生涉及超過 34 萬 USDC 的錢包被攻擊,但已進行賠償。Trust Wallet 遭遇 Chrome 擴展漏洞,導致用戶資產約 $7 百萬美元被提取。
