Truebit協議在智能合約漏洞中損失$26 百萬：團隊確認遭駭並呼籲謹慎

Truebit 協議所因一個針對遺留智能合約的高階攻擊，損失約 $26 百萬，從平台儲備中抽走 8,535 ETH。

(來源：X)

Truebit 在官方聲明中確認遭駭，建議用戶在調查期間避免與受影響的合約進行任何互動，並與執法部門合作追查。此分析洞察將探討漏洞機制、鏈上後果、官方回應，以及對遺留 DeFi 安全的更廣泛影響（截至2026年1月9日）。

攻擊詳情：Truebit 協議如何損失儲備

此次攻擊利用了 Truebit 五年前的 Purchase 合約 (地址：0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2) 的定價漏洞。該漏洞使攻擊者能以微不足道的成本鑄造數十億 TRU 代幣，然後反覆循環該過程，抽取 ETH 儲備。

安全公司如 CertiK 和 PeckShield 及時標記異常活動，攻擊者在多個錢包間分散資金，同時留下與先前較小漏洞相關的蹤跡。

• 被盜金額：8,535 ETH (約合 2644 萬美元（當時匯率）)。
• 漏洞合約：遺留的 Purchase 機制。
• 攻擊方法：利用定價漏洞進行鑄幣與抽取的循環。
• 偵測情況：多個監控團隊迅速發出警報。

官方回應：Truebit 確認遭駭並發出警告

Truebit 透過官方渠道和 Lookonchain 公告確認遭駭，強調事件局限於遺留合約。團隊立即呼籲用戶停止所有互動，並與執法部門合作進行資金追蹤與追回。

官方將僅透過驗證渠道分享最新資訊，以防止錯誤訊息傳播。

• 團隊聲明：立即承認事件並提醒用戶安全。
• 執法合作：積極進行中。
• 社群指引：撤銷受影響合約的授權。
• 透明承諾：承諾定期發布官方更新。

鏈上後果與立即反應

攻擊後，盜取的 ETH 被分散在多個地址中，增加追蹤難度，但也留下了取證線索。社群反應集中在未經審計的遺留代碼風險，呼籲全面撤銷授權與升級協議。

TRU 代幣價格劇烈波動，反映市場對儲備枯竭與開發持續性的擔憂。

• 資金流向：分散在多個與先前漏洞相關的錢包中。
• 安全教訓：遺留合約是持續的安全風險。
• 市場影響：對類似 DeFi 原語的警覺性提升。

對 DeFi 安全的更廣泛啟示

此事件凸顯長期運行協議中老舊智能合約的持續挑戰。即使經過審計，隨著經濟環境或使用模式變化，也可能藏有漏洞。

Truebit 確認遭駭 提醒我們，不可變性雙刃劍——修復漏洞通常需要協調遷移或升級。

• 遺留風險：未維護的合約成為攻擊入口。
• 最佳實務：定期審計、撤銷授權、設置時間鎖。
• 產業趨勢：越來越重視可升級或代理模式。

總結來說，Truebit 協議因遺留合約漏洞損失 $26 百萬，Truebit 確認遭駭，並將用戶安全與調查放在首位。此事件提醒我們，老舊代碼仍是持續的 DeFi 風險，但團隊的透明度與與執法合作為解決提供了途徑。用戶應留意官方公告，避免與受影響合約互動，並在去中心化協議中謹慎授權錢包。