EthereumベースのインフラプロジェクトであるTruebitのネイティブトークンTRUは、スマートコントラクトの脆弱性によってプロトコルから2,640万ドル以上が流出した後、ほぼ100%暴落しました。攻撃は疑わしいオンチェーントランザクションから始まり、急速に全流動性が枯渇する結果となりました。
特筆すべきは、攻撃者がTruebitのミンティングコントラクトの数学的エラーを悪用し、TRUの価格をほぼゼロに設定したことです。このバグにより、攻撃者はほとんどコストをかけずに大量のTRUトークンをミントすることが可能となりました。
攻撃者はそれらをプールに売り戻しました。各サイクルごとに、さらに多くのETH ETH $3 091 24h volatility: 0.8% Market cap: $373.01 B Vol. 24h: $15.70 B がプロトコルから抜き取られました。オンチェーンデータによると、攻撃者は迅速なトランザクション実行と介入防止のために少額のビルダーブライドも支払っています。
セキュリティリサーチャーのWeilin Liは、この脆弱性が5年前から存在したスマートコントラクトの欠陥に基づいていることを独自に確認しました。プライベートキーの漏洩はなく、システムの失敗は純粋に数学的な誤りによるものでした。
さらに2,600万ドルのハッキング。@Truebitprtocol
まだ脆弱なコードを逆コンパイルしていませんが、根本的な原因は購入コントラクトのミンティング関数の価格設定ミスで、誰でも非常に安価にTRUトークンを購入できてしまうことのようです。
最初の攻撃者(利益2,600万ドル):… pic.twitter.com/qmoDB54I0w
— Weilin (William) Li (@hklst4r) 2026年1月8日
ETHで2,640万ドル流出
オンチェーンデータによれば、ハッカーは盗んだ8,535ETHを2つのウォレットに分配しました。1つは約4,267ETHを、もう1つは約4,001ETHを受け取っています。
流動性が取り除かれると、TRUの市場構造は即座に崩壊しました。攻撃前はTRUは約$0.16で取引されていました。しかし、事件後には99%以上下落し、約$0.00となりました。
執筆時点で、TRUは約$0.034で取引されています。CoinMarketCapのデータによれば、現在このアルトコインの時価総額はほぼ全て消失しています。
Truebitチームの対応
TruebitはX上でこの事件を認め、事態の対応のため法執行機関と連携していると述べました。執筆時点では、回復計画や補償の詳細は確認されていません。
本日、1人または複数の悪意ある行為者によるセキュリティインシデントを確認しました。影響を受けたスマートコントラクトは0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2であり、さらなる通知があるまでこのコントラクトとのやり取りを強く控えるよう一般に勧告します。私たちは法執行機関と連絡を取っています…
— Truebit (@Truebitprotocol) 2026年1月8日
この事件は、2026年最初の主要な暗号資産ハッキングとなりました。これに先立ち、2025年にはBalancerのようなプロトコルがスマートコントラクトの脆弱性により大きな損失を被っています。
暗号資産業界で5年以上の経験を持つジャーナリストParthは、これまでに複数の暗号資産および金融系大手メディアで活動し、ベア・マーケットとブル・マーケットを乗り越えて知見と専門性を高めてきました。Parthはまた、4冊の自主出版書籍の著者でもあります。
