트루비트(Truebit)의 TRU 토큰은 목요일에 발생한 해킹 공격으로 약 8,535 이더(약 2,660만 달러 상당)가 프로토콜의 준비금에서 빠져나가면서 거의 100% 폭락했다고 온체인 데이터와 독립 연구원들이 밝혔습니다.
이더리움 기반 검증 및 연산 프로젝트인 트루비트는 "한 명 이상의 악의적인 행위자가 관련된 보안 사고를 인지하고 있다"며, 사법 당국과 연락을 취하고 있으며 상황 해결을 위한 조치를 취하고 있다고 밝혔습니다.
오늘, 저희는 한 명 이상의 악의적인 공격자가 관련된 보안 사고를 인지하게 되었습니다. 영향을 받은 스마트 계약은 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2이며, 추후 공지가 있을 때까지 해당 계약과의 상호 작용을 자제해 주시기 바랍니다. 저희는 현재 법적 조치를 취하고 있습니다.
— 트루비트 (@Truebitprotocol) 2026년 1월 8일
블록체인 분석업체 룩온체인(Lookonchain)은 이번 탈취로 약 8,535 이더리움(ETH) 손실되었다고 추산했습니다. 연구원 웨이린 리(Weilin Li)는 이번 공격이 약 5년 전에 배포된 오래된 스마트 계약의 결함 때문이라고 분석했는데, 해당 결함에서는 토큰 발행 기능이 비정상적으로 많은 양의 토큰을 구매할 경우 구매 가격을 0으로 반환할 수 있었다고 밝혔습니다.
이를 통해 공격자는 사실상 비용 없이 TRU를 반복적으로 구매한 다음 즉시 이를 본딩 커브 준비금에 되팔아 이더리움을 빼낼 수 있었습니다.
독립 온체인 연구원인 "n0b0dy"는 이 흐름을 준비금 잔액 변동에 따른 가격 왜곡을 악용한 일련의 매매 순환으로 설명하며, 이로 인해 준비금 풀이 점차 고갈되었다고 밝혔습니다. 관련된 지갑은 거래 우선순위를 높이기 위해 빌더에게 소액의 뇌물을 제공한 것으로 알려졌습니다.
이번 공격으로 TRU는 거의 완전히 붕괴되었고, 유동성이 증발하고 보유자들이 서둘러 매도에 나서면서 토큰 가격이 최대 99.9%까지 폭락했습니다.
이번 사건은 오래된 계약이 관심에서 멀어진 후에도 오랫동안 공격의 취약점으로 남아 있을 수 있다는 점을 다시 한번 상기시켜 줍니다.
프로토콜의 현재 코드가 업데이트되더라도, 기존 배포 환경이나 잊혀진 가격 책정 로직이 여전히 가치를 지니거나 예비 자원과 연결되어 있다면 해당 요소들이 공격 대상이 될 수 있습니다.
Truebit은 아직 전체적인 사후 분석 보고서를 발표하지 않았으며, 영향을 받은 계약이 일시 중단되었는지 여부도 확인하지 않았습니다.
