Truebit协议在智能合约漏洞中损失$26 百万：团队确认被黑并呼吁谨慎

Truebit协议在一次针对遗留智能合约的复杂攻击中损失了大约$26 百万，事件导致平台储备中的8,535 ETH被耗尽。

(来源：X)

Truebit在官方声明中确认遭遇黑客攻击，建议用户在调查期间避免与受影响的合约进行任何交互，并与执法部门合作进行追查。本文分析了此次漏洞的机制、链上后果、官方应对措施以及对遗留DeFi安全的更广泛影响，截止至2026年1月9日。

攻击详情：Truebit协议如何损失储备

此次攻击利用了Truebit五年前购买合约(地址：0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2)中的定价漏洞。该漏洞允许攻击者以微不足道的成本铸造数十亿TRU代币，然后通过循环操作不断抽取ETH储备。

安全公司如CertiK和PeckShield实时监测到异常活动，攻击者在多个钱包之间分散资金，同时留下了与之前小规模漏洞相关的追踪痕迹。

• 被盗金额：8,535 ETH (约合2644万美元（事件发生时的市值）)。
• 漏洞合约：遗留的购买机制。
• 攻击手法：通过定价漏洞进行铸币-抽取循环。
• 检测情况：多支监控团队迅速发出警报。

官方回应：Truebit确认遭黑并发出警告

Truebit通过官方渠道和Lookonchain披露确认遭遇黑客攻击，强调事件仅限于遗留合约。团队立即呼吁用户停止与受影响合约的交互，并正与执法部门合作进行资金追查。

后续更新将通过官方验证渠道独家发布，以防止虚假信息传播。

• 团队声明：立即确认事件并提醒用户安全。
• 执法合作：积极进行中。
• 社区建议：撤销对受影响合约的授权。
• 透明承诺：承诺定期发布官方更新。

链上后果与事后反应

攻击后，被盗的ETH被分散存放在多个地址，增加了追查难度，但也留下了取证线索。社区反应集中在未经过审计的遗留代码存在的风险上，呼吁全面撤销协议授权并进行升级。

TRU代币价格剧烈波动，反映市场对储备枯竭和开发持续性的担忧。

• 资金流向：分散在多个与之前漏洞有关的钱包中。
• 安全教训：遗留合约作为持续的安全隐患。
• 市场影响：对类似DeFi原语的警惕性增强。

对DeFi安全的更广泛影响

此次事件凸显了长期运行协议中老旧智能合约面临的持续挑战。即使经过审计的代码，也可能因经济环境或使用模式的变化而存在漏洞。

Truebit确认遭黑提醒我们，链上不可变性既是优势也是风险——修复漏洞通常需要协调迁移或升级。

• 遗留风险：未维护的合约成为攻击目标。
• 最佳实践：定期审计、撤销授权、设置时间锁。
• 行业趋势：越来越多关注可升级或代理模式。

总之，Truebit协议在一次遗留合约漏洞中损失了$26 百万，Truebit确认遭黑的应对措施以保护用户和推动调查为优先。此次事件虽暴露了老旧代码带来的DeFi风险，但团队的透明度和与执法部门的合作为问题解决提供了路径。用户应注意避免与受影响的合约交互，并关注官方渠道的恢复进展——在去中心化协议中，授权操作始终需谨慎。