Truebit漏洞在攻击者滥用仍与活跃流动性池相关的遗留智能合约后,已导致超过$26 百万的资金被耗尽。
TRU代币在数小时内崩溃至接近零,市场恐慌抛售蔓延,流动性迅速消失。
事件显示,尽管经过多年的协议升级,过时的DeFi合约仍然是主要的安全风险。
Truebit协议在周四遭遇重大安全漏洞,触发了2026年以来最剧烈的代币崩盘之一。链上数据显示,攻击者共耗尽了大约8,535以太币,价值接近2660万美元。
Truebit的TRU代币在一次漏洞后暴跌近100%,从其储备中耗尽了约8,535以太币,价值约2660万美元。
攻击利用了一个较旧智能合约中的漏洞,使攻击者能够以零成本购买TRU并将其卖回以提取以太币。pic.twitter.com/gWn5sgCJ1Q
— TheCryptoBasic (@thecryptobasic) 2026年1月9日
随着漏洞的展开,TRU代币在数小时内从大约0.16美元暴跌至接近零。突如其来的下跌引发了恐慌性抛售,扰乱了多个交易场所的流动性。市场参与者在短时间内难以应对,波动性加剧。
调查人员追踪发现,此次漏洞源于一个仍连接到活跃流动性池的过时智能合约。该合约存在定价错误,使攻击者能够以零成本铸造TRU代币。利用这一漏洞,攻击者反复买卖TRU,从协议储备中提取以太币。此外,快速的交易排序帮助绕过了以太坊网络的早期安全措施。这些条件使得漏洞得以迅速放大,未被及时发现。
链上监控工具在漏洞发生后不久便标记出异常交易模式。分析师观察到一些交易与正常协议活动不符。此外,一个钱包在几分钟内收到了大部分被耗尽的以太币。攻击者还利用小额“建造者贿赂”获得区块优先权。因此,漏洞在多个区块中实现了高速度的资金提取。
进一步调查显示,此次漏洞依赖于几年前嵌入的有缺陷的铸币函数。该漏洞代码追溯到近五年前,且在多次协议升级中未被移除。开发者在之前的网络迁移中未撤销旧权限,导致遗留合约仍能访问流动性池。这一疏忽为熟悉历史部署的攻击者提供了入口。
区块链研究人员还发现,事件期间有两名攻击者活动。一地址从协议中获取了约$26 百万美元的以太币。另一地址在识别出漏洞后获得了约25万美元。同时,投机交易者似乎在波动期间监控内存池数据。这些交互增加了链上活动的复杂性。
Truebit团队在发现事件后不久便表示知晓安全事件,并提醒用户不要与受影响的合约地址交互。开发者还联系了执法部门并启动了内部调查。然而,他们未在初期响应中立即确认暂停合约。这一不确定性加剧了市场的焦虑。
随着交易平台上的流动性迅速消失,抛售压力不断增强。TRU代币接近零,许多持有者无法退出仓位。薄弱的订单簿使套利流动受阻,亏损进一步扩大。数年的市场资本在数小时内全部蒸发。这次崩盘凸显了信心流失的速度。
Truebit事件是去中心化金融安全失败案例中的又一例。安全公司报告称,攻击者越来越多地针对遗忘权限的旧合约。协议开发常常赶不上对遗留部署的全面审计,因此,嵌入多年前的逻辑错误可能长时间未被发现。这些漏洞继续对整个行业构成系统性风险。
近期事件在主要平台上也出现类似模式。Balancer因四舍五入错误损失超过$120 百万美元。Bunni和Nemo也披露了与过时逻辑相关的合约被耗尽的情况。另有,Kontigo发生了涉及超过34万USDC的钱包被攻破,但已进行赔偿。Trust Wallet遭遇Chrome扩展漏洞,导致用户资金被耗尽约$7 百万美元。
