本站报道:

Truebit协议已确认其智能合约之一于1月7日发生安全事件。此次链上漏洞利用导致超过8500个ETH损失,按当前价格计算,价值约2600万至2650万美元。

Truebit 在 X 上发表声明称,已发现与地址 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 处的“Truebit Protocol: Purchase”合约相关的恶意活动,并敦促用户在另行通知前不要与该合约进行任何交互。

该团队表示,他们正在与执法部门合作,并将通过官方渠道发布最新消息。

定价缺陷导致免费代币铸造

虽然 Truebit 尚未披露该漏洞的技术细节,链上分析这表明该漏洞源于合约的 getPurchasePrice[uint256] 函数中的定价逻辑错误。

据报道,该函数对异常大的铸币请求返回零价格,使攻击者能够免费铸币。

利用这一漏洞,攻击者能够反复铸造代币并将其出售回协议的绑定曲线,通过快速的买卖循环耗尽 ETH 储备。

其中一次主要的攻击交易使用了明确标记为“攻击”的函数。

大部分被盗资金被集中到一个地址,只有一小部分被转移到了备用钱包。

资金通过“龙卷风现金”计划转移。

交易记录显示,漏洞利用发生后不久,大约一半被盗的 ETH 通过 Tornado Cash 进行交易。

快速使用混合服务表明,此次攻击是蓄意且预先计划好的,而不是机会主义的。

Truebit TRU 代币价格暴跌

此次漏洞利用立即对市场造成了冲击。事件发生后,TRU 代币价格大幅下跌。在主要交易所,短短 12 小时内,TRU 代币价格就从约 0.16 美元暴跌至 0.005 美元,跌幅超过 60%。

来源:TradingView

下跌反映了交易员对损失规模和补救措施不确定性的反应。

此次漏洞利用反映了加密犯罪的更广泛趋势。

Truebit事件发生之际,加密货币相关犯罪正在全面抬头。

数据来自链分析数据显示,2025 年非法加密货币交易大幅增加,主要原因是被盗资金和与受制裁实体相关的活动。

数据显示,到 2025 年,这一数字将跃升至约 1540 亿美元。

来源:Chainalysis

这一趋势凸显了经济动机攻击如何继续针对智能合约逻辑中的弱点,特别是与定价和代币发行机制相关的弱点。

截至发稿时,Truebit尚未公布恢复计划,也未说明是否会全额赔偿用户。

团队重申,最新消息将通过官方渠道发布。

最后想说的话

  • Truebit 漏洞凸显了定价和边界条件漏洞仍然是最危险的智能合约风险之一,即使没有复杂的攻击途径。
  • 这一事件进一步证明,随着加密货币的广泛普及,以经济利益为动机的攻击活动也在不断增加。