Theo dữ liệu trên chuỗi và các nhà nghiên cứu độc lập, Token TRU của Truebit đã giảm mạnh gần 100% vào thứ Năm sau khi một vụ tấn công mạng làm rút khoảng 8.535 ether, trị giá khoảng 26,6 triệu đô la, từ quỹ dự trữ của giao thức.
Truebit, một dự án xác minh và tính toán dựa trên Ethereum, cho biết họ "đã nhận thức được một sự cố an ninh liên quan đến một hoặc nhiều tác nhân độc hại", đồng thời cho biết thêm rằng họ đang liên hệ với cơ quan thực thi pháp luật và đang tiến hành các bước để giải quyết tình hình.
Hôm nay, chúng tôi đã phát hiện một sự cố bảo mật liên quan đến một hoặc nhiều tác nhân độc hại. Hợp đồng thông minh bị ảnh hưởng là 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 và chúng tôi khuyến cáo mạnh mẽ công chúng không nên tương tác với hợp đồng này cho đến khi có thông báo mới. Chúng tôi đang liên hệ với cơ quan chức năng…
— Truebit (@Truebitprotocol) ngày 8 tháng 1 năm 2026
Các nhà phân tích blockchain tại Lookonchain ước tính vụ trộm trị giá 8.535 ETH. Nhà nghiên cứu Weilin Li cho rằng vụ tấn công xuất phát từ một lỗ hổng trong hợp đồng thông minh cũ được triển khai khoảng năm năm trước, trong đó chức năng tạo token có thể trả về giá mua bằng không đối với một Token mua lớn bất thường.
Điều đó cho phép kẻ tấn công liên tục mua TRU với chi phí gần như bằng không, sau đó ngay lập tức bán lại vào quỹ dự trữ đường cong liên kết để rút ether ra.
Nhà nghiên cứu onchain độc lập “n0b0dy” mô tả dòng tiền này là một chuỗi các vòng lặp mua và bán lợi dụng sự sai lệch giá khi số dư dự trữ thay đổi, dần dần làm cạn kiệt pool. Ví điện tử liên quan được cho là đã trả một khoản tiền nhỏ cho người xây dựng để ưu tiên các giao dịch.
Vụ tấn công đã khiến TRU gần như sụp đổ hoàn toàn, với giá Token giảm tới 99,9% khi thanh khoản cạn kiệt và người dùng ồ ạt bán tháo.
Vụ việc này là lời nhắc nhở mới nhất rằng các hợp đồng cũ vẫn có thể là điểm yếu dễ bị tấn công ngay cả khi chúng đã không còn được chú ý đến.
Ngay cả khi mã hiện tại của một giao thức được cập nhật, các triển khai cũ và logic định giá bị lãng quên vẫn có thể bị nhắm mục tiêu nếu chúng có giá trị hoặc liên kết với các nguồn dự trữ.
Truebit vẫn chưa công bố báo cáo phân tích đầy đủ sau sự cố hoặc xác nhận liệu các hợp đồng bị ảnh hưởng đã được tạm dừng hay chưa.
