Tóm tắt cuộc tấn công TRUEBIT (tính đến 03:25 UTC, ngày 9 tháng 1 năm 2026)

Tóm lại

1. Hợp đồng cốt lõi của TRUEBIT đã bị khai thác trong khoảng thời gian từ 18:00 đến 23:00 UTC ngày 8 tháng 1 năm 2026. Kẻ tấn công đúc TRU bất hợp pháp và chuyển 8.535 ETH (khoảng 26,4 triệu đô la Mỹ) bằng cách lợi dụng lỗ hổng về giá trong hợp đồng Mua cũ.
2. Lỗ hổng này xuất phát từ việc cấu hình tham số hợp đồng ban đầu không chính xác, cho phép tạo ra các đồng tiền và rút ETH đã được đặt cọc trong hợp đồng với chi phí cực thấp.
3. Sự cố này đã khiến giá cổ phiếu TRU giảm mạnh hơn 99% xuống gần bằng 0 chỉ trong vòng hai ngày. Nhóm dự án đã đưa ra cảnh báo và liên hệ với các cơ quan thực thi pháp luật, nhưng vẫn chưa công bố kế hoạch bồi thường hoặc phục hồi nào.

Phân tích cốt lõi

1. Tổng quan về sự kiện

• Đã xác nhận : Bên long trang giám sát và phương tiện truyền thông, bao gồm Lookonchain, Cointelegraph và Ambcrypto, đã đưa tin về sự cố bảo mật TRUEBIT vào ngày 8-9 tháng 1, tất cả đều chỉ ra cùng một vụ đánh cắp 8.535 ETH.
• Phương thức tấn công : Khai thác lỗ hổng về giá trong chức năng "Tấn công" của hợp đồng Mua , được triển khai khoảng năm năm trước, TRU đúc với chi phí bằng không hoặc cực thấp, sau đó ETH được thế chấp trong hợp đồng được chuyển ra ngoài.
• Thông cáo chính thức : Vào ngày 8 tháng 1, Truebit Protocol chính thức xác nhận sự cố bảo mật trên X (@Truebitprotocol), khuyến cáo người dùng ngừng tương tác với các hợp đồng bị ảnh hưởng và cho biết họ đang hợp tác với cơ quan thực thi pháp luật trong cuộc điều tra.

2. Dòng thời gian

3. Các lỗ hổng và chi tiết tấn công

• Các hợp đồng bị ảnh hưởng : Phiên bản cũ của hợp đồng Mua hàng ( đánh dấu thông báo chính thức : 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2 ).
• Loại lỗ hổng : Lỗi cấu hình tham số/logic định giá, cho phép kẻ tấn công tạo ra tiền điện tử với giá thấp hơn nhiều so với chi phí thực tế hoặc thậm chí bằng không.
• Địa chỉ tấn công chính : 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50 (Thẻ Etherscan: Truebit Exploiter 1).
• Ví dụ giao dịch : 0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014 — Chuyển khoản một lần 8.535 ETH.

4. Dòng tiền và quy mô thiệt hại

• Tổng thiệt hại : 8.535 ETH (khoảng 26,4-26,6 triệu đô la Mỹ dựa trên giá ~3.100 đô la Mỹ/ETH tại thời điểm xảy ra sự cố).
• Các hành động tiếp theo : Khoảng một nửa số tiền đã được phân tán và chuyển đi, một số ETH đã được chuyển vào các địa chỉ khác và sàn giao dịch phi tập trung, bị nghi ngờ là hoạt động rửa tiền.
• Tác động của TVL : TRUEBIT không niêm yết TVL của mình trên các trang tổng hợp DeFi lớn; số tiền lần chiếm phần lớn lượng dự trữ Chuỗi của họ, và TVL thực tế của họ đã giảm xuống gần bằng không.

5. Giá thị trường và thanh khoản

• Việc bán tháo trên thị trường và sự cạn kiệt thanh khoản đã khiến TRU mất gần như toàn bộ giá trị vốn hóa thị trường trong vòng hai ngày; khối lượng giao dịch trong 24 giờ chỉ đạt khoảng 37.600 đô la, và chỉ báo lượng lưu thông cho thấy thanh khoản đóng băng thanh khoản.

6. Tâm lý và tranh cãi cộng đồng

• Nhìn chung, không khí chung là bi quan và hoài nghi; lượng lớn bình luận chỉ ra sự trớ trêu khi "sử dụng xác minh bảo mật làm điểm bán hàng cốt lõi, nhưng lại bị tổn hại do không duy trì các hợp đồng cũ".
• Ý kiến ​​tích cực : Họ ghi nhận việc đội ngũ nhanh chóng công bố thông tin và khởi xướng các thủ tục thực thi, nhưng bày tỏ lo ngại về triển vọng bồi thường và quản trị.
• Các điểm gây tranh cãi
  1. Liệu có tồn tại lỗ hổng về kiến ​​thức nội bộ hoặc đặc quyền nào khiến cho đường tấn công trở nên đơn giản bất thường không?
  2. TRUEBIT đã không tiến hành kiểm toán hợp đồng hoặc cập nhật các thông số trong nhiều năm, điều này hoàn toàn không phù hợp với định vị của công ty.
  3. Liệu sự cố này có dẫn đến việc dự án bị đình chỉ hoặc cộng đồng dân cư phải di dời đến nơi khác không?

7. Đánh giá rủi ro và theo dõi tiếp theo

• Rủi ro ro kỹ thuật :
  • Phiên bản cũ của hợp đồng đã không được kiểm toán hoặc cập nhật trong một thời gian dài, do đó nhiều khả năng vẫn còn chứa những lỗ hổng tương tự.
  • Những kẻ tấn công đã chứng minh rằng chúng có thể rút toàn bộ số ETH được thế chấp cùng một lúc, khiến việc thu hồi tiền trong tương lai trở nên khó khăn.
• Pháp lý và Tuân thủ : Nhóm dự án đã liên hệ với các cơ quan thực thi pháp luật, nhưng việc trộn lẫn tiền điện tử giữa các Chuỗi và trên cùng Chuỗi sẽ làm tăng độ phức tạp trong việc thu hồi tài sản.
• Rủi ro thị trường : Lượng tiền gửi có bảo đảm (TRU) gần như bằng không, thanh khoản đang cạn kiệt, và có rủi ro đầu cơ ngắn hạn và thao túng giá cả.
• Các điểm giám sát chính :
  1. Đánh giá kỹ thuật chính thức và kế hoạch bồi thường tiếp theo.
  2. Có dấu hiệu cho thấy địa chỉ của kẻ tấn công đang chuyển tiền tiếp hoặc cố gắng rút tiền từ sàn giao dịch tập trung (CEX).
  3. Tiến độ thực hiện Đề án quản trị cộng đồng và tái cấu trúc tài chính.

tóm lại

Vụ tấn công 8.535 ETH vào TRUEBIT bắt nguồn từ một lỗ hổng nghiêm trọng về giá cả trong hợp đồng Mua đã lỗi thời, cho thấy sự cẩu thả trong việc bảo trì mã nguồn và kiểm toán bảo mật trong dự án "lớp xác thực". Sự cố này không chỉ làm cạn kiệt tài sản của giao thức mà còn gần như xóa sổ giá trị của token TRU, gây tổn hại nghiêm trọng đến niềm tin của cộng đồng. Trong ngắn hạn, sự tồn tại của dự án và việc bồi thường cho người dùng bị thiệt hại phụ thuộc rất nhiều vào hiệu quả của việc khắc phục kỹ thuật chính thức và các biện pháp pháp lý; nếu lỗ hổng không được vá nhanh chóng, dự trữ không được khôi phục và lộ trình quản trị rõ ràng không được truyền đạt, TRUEBIT có rủi ro bị loại bỏ hoàn toàn khỏi thị trường.