Власний токен TRU проєкту інфраструктури на базі Ethereum Truebit обвалився майже на 100% після експлуатації смарт-контракту, внаслідок чого з протоколу було виведено понад $26,4 мільйона. Атака почалася з підозрілої транзакції в мережі та швидко призвела до повного виведення ліквідності.
Зокрема, зловмисник скористався математичною помилкою у контракті карбування токенів Truebit, яка неправильно оцінила TRU майже в нуль. Ця помилка дозволила атакуючому карбувати величезну кількість токенів TRU майже безкоштовно.
Зловмисник потім продав їх назад у пул. Кожен цикл витягував більше ETH ETH $3 091 24h volatility: 0.8% Market cap: $373.01 B Vol. 24h: $15.70 B із протоколу. Дані з блокчейну показують, що зловмисник також заплатив невеликий хабар будівельнику за швидке проведення транзакції та запобігання втручанню.
Дослідник безпеки Вейлін Лі незалежно підтвердив, що експлойт базувався на п'ятирічній помилці у смарт-контракті. Жодні приватні ключі не були скомпрометовані, система зазнала невдачі виключно через некоректні математичні розрахунки.
Ще один злам на 26 млн. @Truebitprtocol
Я ще не декомпілював уразливий код, але основна причина, схоже, полягає в неправильно оціненій функції карбування у контракті покупки, що дозволяє будь-кому купити TRU токени за дуже низькою ціною.
Перший нападник (прибуток 26 млн):… pic.twitter.com/qmoDB54I0w
— Weilin (William) Li (@hklst4r) 8 січня 2026
Виведено $26,4 млн в ETH
Згідно з даними блокчейну, хакер розподілив 8 535 ETH, отриманих у результаті атаки, на два гаманці. Один отримав близько 4 267 ETH, інший — близько 4 001 ETH.
Після виведення ліквідності ринкова структура TRU миттєво обвалилася. До експлойту TRU торгувався близько $0,16. Проте після інциденту ціна впала більш ніж на 99% — до близько $0,00.
На момент написання TRU торгується близько $0,034. За даними CoinMarketCap, альткоїн втратив практично всю свою ринкову капіталізацію.
Реакція команди Truebit
Truebit підтвердила інцидент у X і повідомила, що співпрацює з правоохоронними органами для вирішення ситуації. Станом на момент написання план щодо відновлення або компенсації не був оголошений.
Сьогодні ми дізналися про інцидент із безпекою за участю одного або кількох зловмисників. Уражений смарт-контракт — 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2, і ми наполегливо рекомендуємо громадськості не взаємодіяти з цим контрактом до подальших повідомлень. Ми на зв'язку з правоохоронними органами…
— Truebit (@Truebitprotocol) 8 січня 2026
Інцидент став першим великим криптовалютним зламом 2026 року після року, що відзначився кількома атаками на DeFi. У 2025 році такі протоколи, як Balancer, зазнали суттєвих втрат через вразливості у смарт-контрактах.
Parth — криптожурналіст із понад 5-річним досвідом у галузі, працював з провідними медіа у світі криптовалют та фінансів, здобувши досвід і експертизу після пережитих ведмежих та бичачих ринків. Parth також є автором 4 самостійно виданих книг.
