Pada dini hari 9 Januari, sebuah serangan mendadak membuat kontrak yang telah di-deploy lima tahun lalu oleh Truebit Protocol menjadi "mesin penarik uang"—penyerang dalam waktu singkat mengosongkan 8.535,36 ETH dari kontrak tersebut, yang jika dihitung berdasarkan harga saat itu sekitar 26,4 juta dolar AS.

Analisis tim keamanan mengungkapkan detail dari insiden ini. Metode serangannya tidak rumit, tetapi sangat efektif.

**Proses serangan adalah sebagai berikut:**

Pertama, penyerang memanfaatkan fungsi getPurchasePrice() untuk menyelidiki informasi harga. Selanjutnya, mereka menargetkan fungsi yang memiliki celah dalam kontrak dengan melakukan panggilan dengan msg.value yang sangat kecil. Karena kode kontrak tidak bersifat open-source, melalui dekompilasi diperkirakan fungsi ini memiliki celah logika aritmatika—kemungkinan besar karena penanganan pembulatan bilangan bulat yang tidak tepat, sehingga penyerang dapat mencetak sejumlah besar token TRU secara palsu.

Kemudian langkah kunci: melalui fungsi burn, token yang dipalsukan ini "dijual kembali" ke kontrak, dan dari situ mereka mendapatkan ETH yang sebenarnya. Operasi ini dilakukan berulang sebanyak 5 kali, dengan msg.value yang secara bertahap meningkat, hingga akhirnya hampir seluruh ETH dalam cadangan kontrak berhasil diambil.

Insiden ini memberi peringatan kepada industri—bahkan proyek "lama" yang telah di-deploy lima tahun lalu, jika logika kontraknya memiliki celah dan tidak diperbarui secara tepat waktu, tetap berpotensi menjadi sasaran para peretas.