Truebit 代币在 2660 万美元以太币被盗暴露遗留合约漏洞后暴跌

• Truebit漏洞在攻击者滥用仍与活跃流动性池相关的遗留智能合约后，已导致超过$26 百万的资金被耗尽。

• TRU代币在数小时内崩溃至接近零，市场恐慌抛售蔓延，流动性迅速消失。

• 事件显示，尽管经过多年的协议升级，过时的DeFi合约仍然是主要的安全风险。

Truebit协议在周四遭遇重大安全漏洞，触发了2026年以来最剧烈的代币崩盘之一。链上数据显示，攻击者共耗尽了大约8,535以太币，价值接近2660万美元。

Truebit的TRU代币在一次漏洞后暴跌近100%，从其储备中耗尽了约8,535以太币，价值约2660万美元。

攻击利用了一个较旧智能合约中的漏洞，使攻击者能够以零成本购买TRU并将其卖回以提取以太币。pic.twitter.com/gWn5sgCJ1Q

— TheCryptoBasic (@thecryptobasic) 2026年1月9日

随着漏洞的展开，TRU代币在数小时内从大约0.16美元暴跌至接近零。突如其来的下跌引发了恐慌性抛售，扰乱了多个交易场所的流动性。市场参与者在短时间内难以应对，波动性加剧。

遗留合约漏洞促成了此次攻击

调查人员追踪发现，此次漏洞源于一个仍连接到活跃流动性池的过时智能合约。该合约存在定价错误，使攻击者能够以零成本铸造TRU代币。利用这一漏洞，攻击者反复买卖TRU，从协议储备中提取以太币。此外，快速的交易排序帮助绕过了以太坊网络的早期安全措施。这些条件使得漏洞得以迅速放大，未被及时发现。

链上监控工具在漏洞发生后不久便标记出异常交易模式。分析师观察到一些交易与正常协议活动不符。此外，一个钱包在几分钟内收到了大部分被耗尽的以太币。攻击者还利用小额“建造者贿赂”获得区块优先权。因此，漏洞在多个区块中实现了高速度的资金提取。

链上分析显示多名攻击者参与

进一步调查显示，此次漏洞依赖于几年前嵌入的有缺陷的铸币函数。该漏洞代码追溯到近五年前，且在多次协议升级中未被移除。开发者在之前的网络迁移中未撤销旧权限，导致遗留合约仍能访问流动性池。这一疏忽为熟悉历史部署的攻击者提供了入口。

区块链研究人员还发现，事件期间有两名攻击者活动。一地址从协议中获取了约$26 百万美元的以太币。另一地址在识别出漏洞后获得了约25万美元。同时，投机交易者似乎在波动期间监控内存池数据。这些交互增加了链上活动的复杂性。

市场反应加速了代币崩盘

Truebit团队在发现事件后不久便表示知晓安全事件，并提醒用户不要与受影响的合约地址交互。开发者还联系了执法部门并启动了内部调查。然而，他们未在初期响应中立即确认暂停合约。这一不确定性加剧了市场的焦虑。

随着交易平台上的流动性迅速消失，抛售压力不断增强。TRU代币接近零，许多持有者无法退出仓位。薄弱的订单簿使套利流动受阻，亏损进一步扩大。数年的市场资本在数小时内全部蒸发。这次崩盘凸显了信心流失的速度。

DeFi漏洞凸显遗留代码风险

Truebit事件是去中心化金融安全失败案例中的又一例。安全公司报告称，攻击者越来越多地针对遗忘权限的旧合约。协议开发常常赶不上对遗留部署的全面审计，因此，嵌入多年前的逻辑错误可能长时间未被发现。这些漏洞继续对整个行业构成系统性风险。

近期事件在主要平台上也出现类似模式。Balancer因四舍五入错误损失超过$120 百万美元。Bunni和Nemo也披露了与过时逻辑相关的合约被耗尽的情况。另有，Kontigo发生了涉及超过34万USDC的钱包被攻破，但已进行赔偿。Trust Wallet遭遇Chrome扩展漏洞，导致用户资金被耗尽约$7 百万美元。