Kerugian lebih dari 26 juta dolar AS, Analisis insiden keamanan Truebit Protocol dan pelacakan aliran dana yang dicuri

MarsBitNews · 2026-01-09T10:54:32+00:00

9 Januari, kontrak yang belum di-open source dari Truebit Protocol diserang, kehilangan 8.535,36 ETH. Penyerang memanfaatkan celah kontrak untuk mencetak token TRU dan menarik sejumlah besar ETH. Setelah dianalisis oleh tim Beosin, dana yang dicuri telah dilacak dan saat ini disimpan di dua alamat berisiko tinggi. Disarankan agar pihak proyek melakukan peningkatan dan audit keamanan pada kontrak yang belum di-open source untuk mencegah kejadian serupa.

MarsBitNews

2026-01-09 10:54:32

Pembuatan abstrak sedang berlangsung

null

Penulis: Beosin

Pada dini hari tanggal 9 Januari, kontrak yang tidak di-open source yang dipasang oleh Truebit Protocol lima tahun yang lalu diserang, menyebabkan kerugian sebesar 8.535,36 ETH (sekitar 26,4 juta dolar AS). Tim keamanan Beosin melakukan analisis pelanggaran dan pelacakan dana terkait insiden ini, dan membagikan hasilnya sebagai berikut:

Analisis Metode Serangan

Dalam kejadian ini, kami menggunakan transaksi serangan utama sebagai analisis, hash transaksi adalah: 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

Penyerang memanggil getPurchasePrice() untuk mendapatkan harga
Kemudian memanggil fungsi yang memiliki kerentanan 0xa0296215(), dan mengatur nilai msg.value sangat kecil

Karena kontrak tidak di-open source, melalui dekompilasi kode, diperkirakan fungsi ini memiliki celah logika aritmatika, seperti masalah pemotongan bilangan bulat, yang menyebabkan penyerang berhasil mencetak sejumlah besar token TRU.

Penyerang menggunakan fungsi burn untuk “menjual kembali” token yang dicetak ke kontrak, dan menarik sejumlah besar ETH dari cadangan kontrak.

Proses ini diulang 4 kali, setiap kali nilai msg.value meningkat, hingga hampir seluruh ETH di dalam kontrak berhasil diambil.

Pelacakan Dana yang Dicuri

Berdasarkan data transaksi di blockchain, Beosin melalui platform penyelidikan dan pelacakan dana on-chain miliknya, BeosinTrace, melakukan pelacakan dana secara rinci, dan membagikan hasilnya sebagai berikut:

Saat ini, 8.535,36 ETH yang dicuri telah dipindahkan, sebagian besar disimpan di alamat 0xd12f6e0fa7fbf4e3a1c7996e3f0dd26ab9031a60 dan 0x273589ca3713e7becf42069f9fb3f0c164ce850a.

Di antara keduanya, alamat 0xd12f memiliki 4.267,09 ETH, dan alamat 0x2735 memiliki 4.001 ETH. Alamat penyerang yang memulai serangan (0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50) juga menyimpan 267,71 ETH, sementara tiga alamat lainnya belum melakukan transfer dana lebih lanjut.

Diagram Analisis Aliran Dana yang Dicuri oleh Beosin Trace

Semua alamat di atas telah ditandai sebagai alamat berisiko tinggi oleh Beosin KYT, sebagai contoh alamat penyerang:

Beosin KYT

Penutup

Dana yang dicuri ini melibatkan kontrak pintar yang tidak di-open source lima tahun yang lalu. Untuk kontrak semacam ini, pihak proyek harus melakukan upgrade kontrak, memperkenalkan fitur penangguhan darurat, pembatasan parameter, serta fitur keamanan Solidity versi terbaru. Selain itu, audit keamanan tetap merupakan langkah penting dalam pengembangan kontrak. Melalui audit keamanan, perusahaan Web3 dapat secara menyeluruh mendeteksi kode kontrak pintar, menemukan dan memperbaiki potensi celah, serta meningkatkan keamanan kontrak.

*Beosin akan menyediakan laporan analisis lengkap tentang aliran dana dan risiko alamat dari insiden ini. Silakan hubungi email resmi support@beosin.com untuk menerima laporan tersebut.

ETH0,38%

TRU0,82%

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.