Токен Truebit падає після витоку 26,6 мільйонів доларів у ETH, що виявив ваду у старому контракті

• Exploit Truebit зняв понад $26 мільйонів після того, як зловмисники зловживали застарілим смарт-контрактом, що залишався пов’язаним із активними пулом ліквідності.

• Токен TRU обвалився майже до нуля за кілька годин, оскільки панічні продажі поширилися по ринках, а ліквідність швидко зникла.

• Інцидент показує, наскільки застарілі DeFi-контракти залишаються серйозним ризиком безпеки, незважаючи на роки оновлень протоколів.

Truebit Protocol зазнав серйозного порушення безпеки у четвер, що спричинило один із найрізкіших обвалів токену, зафіксованих у 2026 році. Дані в блокчейні підтвердили, що зловмисники зняли близько 8 535 ефірів, оцінюваних майже у $26.6 мільйонів.

Токен TRU від Truebit обвалився майже на 100% після того, як експлойт зняв близько 8 535 ефірів, оцінюваних приблизно у $26.6 мільйонів, із його резервів.

Атака використала ваду в старішому смарт-контракті, що дозволило зловмиснику купити TRU безкоштовно та продати його назад, щоб витягти ефір. pic.twitter.com/gWn5sgCJ1Q

— TheCryptoBasic (@thecryptobasic) 9 січня 2026

Під час розгортання експлойту токен TRU обвалився з приблизно $0.16 до майже нуля за кілька годин. Різке падіння спричинило панічні продажі та порушення ліквідності на кількох торгових майданчиках. Учасники ринку важко реагували, оскільки волатильність зросла за короткий час.

Недолік у старому контракті дозволив експлойт

Розслідувачі простежили порушення до застарілого смарт-контракту, що залишався підключеним до активних пулів ліквідності. Контракт містив помилку у ціновій логіці, що дозволяло зловмисникам створювати TRU безкоштовно. Використовуючи цю ваду, зловмисники багаторазово купували і продавали TRU, щоб витягти ефір із резервів протоколу. Крім того, швидке послідовне виконання транзакцій допомогло обійти ранні заходи безпеки мережі Ethereum. Ці умови дозволили експлойту швидко масштабуватися до виявлення.

Інструменти моніторингу в блокчейні швидко виявили аномальні патерни транзакцій після початку експлойту. Аналітики зафіксували операції, що не відповідали нормальній активності протоколу. Крім того, один гаманець отримав більшу частину знятих ефірів за кілька хвилин. Зловмисник також використовував дрібні хабарі для отримання пріоритету у блоках. Внаслідок цього експлойт досяг високої швидкості витягання у кількох блоках.

Аналіз у блокчейні вказує на кількох учасників

Додаткове розслідування показало, що експлойт базувався на вразливій функції створення монет, яка була вбудована кілька років тому. Уразливий код датувався майже п’ятьма роками і пережив кілька оновлень протоколу. Розробники ніколи не знімали старі дозволи під час попередніх переходів мережі. Внаслідок цього, застарілий контракт зберігав доступ до пулів ліквідності. Ця недбалість створила точку входу для зловмисників, знайомих із історичними розгортаннями.

Дослідники блокчейну також виявили активність, що свідчить про двох зловмисників, які діяли під час вікна експлойту. Один з них захопив приблизно $26 мільйонів ефірів із протоколу. Інший отримав близько $250 000 пізніше, виявивши вразливість. Тим часом, спекулятивні трейдери, ймовірно, слідкували за даними мемпулу під час волатильності. Ці взаємодії додали додаткову складність до активності у блокчейні.

Ринковий крах прискорює обвал токена

Команда Truebit підтвердила знання про інцидент безпеки незабаром після його виявлення. Вони попередили користувачів не взаємодіяти з ураженим контрактом. Розробники також звернулися до правоохоронних органів і розпочали внутрішні розслідування. Однак вони не підтвердили негайне призупинення роботи контракту під час початкової реакції. Ця невизначеність сприяла зростанню тривоги на ринку.

Тиск продажу посилився, оскільки ліквідність зникла на торгових платформах. Токен TRU опустився майже до нуля, залишивши багато власників без можливості вийти з позицій. Тонкі книги замовлень погіршили збитки, оскільки арбітражні потоки зупинилися. Внаслідок цього, роки накопиченої ринкової капіталізації зникли за кілька годин. Обвал підкреслив швидкість, з якою може зруйнуватися довіра.

Вразливості DeFi підкреслюють ризики застарілого коду

Інцидент Truebit додає до зростаючого списку збоїв безпеки у децентралізованих фінансах. Фірми з безпеки повідомляють, що зловмисники все частіше цілеспрямовано шукають забуті дозволи в старих контрактах. Розробка протоколів часто випереджає всебічні аудити застарілих розгортань. Тому неправильно оцінена логіка, закладена роками тому, може залишатися непоміченою. Ці вразливості продовжують становити системний ризик для сектору.

Останні інциденти відображають подібні шаблони на основних платформах. Balancer повідомив про втрати понад $120 мільйонів через помилку округлення. Bunni та Nemo також розкрили витоки контрактів, пов’язані з застарілою логікою. Окремо, Kontigo зазнав злома гаманця з понад 340 000 USDC, але здійснив компенсації. Trust Wallet зіткнувся з експлойтом розширення Chrome, що зняв приблизно $7 мільйонів у користувачів.