TRUEBIT 攻击事件综合简报（截至 2026-01-09 03:25 UTC）

TL;DR

1. TRUEBIT 核心合约于 2026-01-08 18:00-23:00 UTC 遭到利用，攻击者通过旧版 Purchase 合约的定价缺陷非法铸造 TRU 并转移 8 535 ETH（约 2 640 万美元）。
2. 漏洞成因系早期合约参数配置不当，允许以极低成本铸币并提取合约中抵押的 ETH。
3. 事故导致 TRU 价格两日内暴跌 99 %+ 至近零，项目方已发布警告并联系执法机关，但尚未公布补偿或复原方案。

核心分析

1. 事件概述

• 确认：Lookonchain、Cointelegraph、Ambcrypto 等多方监测及媒体在 1 月 8-9 日陆续报道 TRUEBIT 安全事故，均指向同一笔 8 535 ETH 失窃事件。
• 攻击手法：利用部署约五年前的 Purchase 合约中“Attack”（购币）函数的定价漏洞，零成本或极低成本铸造 TRU，再将合约中的抵押 ETH 转出。
• 官方声明：Truebit Protocol 官方于 1 月 8 日在 X（@Truebitprotocol）确认安全事件，提醒用户停止与受影响合约交互，并称已与执法部门合作调查。

2. 时间线

3. 漏洞与攻击细节

• 受影响合约：旧版 Purchase 合约（官方公告标记：0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2）。
• 漏洞类型：定价逻辑/参数配置缺陷，允许攻击者用远低于实际成本甚至零成本的价格铸币。
• 主要攻击地址：0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50（Etherscan 标签：Truebit Exploiter 1）。
• 示例交易：0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014 —— 单笔转出 8 535 ETH。

4. 资金流向与受损规模

• 损失总额：8 535 ETH（按事件当时 ~$3 100 /ETH 计约 2 640-2 660 万美元）。
• 后续动作：约一半资金已被分散转移，部分 ETH 进入其他地址及去中心化交易所，疑似进行混洗。
• TVL 影响：TRUEBIT 未在主流 DeFi 聚合器列出 TVL；本次失窃金额占其链上储备的绝大部分，协议有效 TVL 跌至近零。

5. 市场价格与流动性

• 市场抛售与流动性枯竭导致 TRU 两日内蒸发几乎全部市值；24 h 交易量仅余 ~$37.6k，流通量指标显示流动性冻结。

6. 社群情绪与争议

• 整体氛围：悲观且质疑；大量评论指出“以验证安全为核心卖点，却因未维护老合约被攻破”的讽刺意味。
• 正向声音：认可团队迅速披露并启动执法程序，但担忧补偿与治理前景。
• 争议点
  1. 是否存在内部知情或权限漏洞，导致攻击路径异常简单。
  2. TRUEBIT 多年未做合约审计或参数更新，与其定位严重不符。
  3. 事故后续是否会导致项目停摆或社区迁移至替代方案。

7. 风险评估与后续观察

• 技术风险：
  • 旧版合约长期无审计、无参数更新，潜藏类似漏洞的概率较高。
  • 攻击者已证明可一次性提取全部抵押 ETH，未来回补资金难度大。
• 法律与合规：项目方已联系执法部门，但跨链、链上混币将加大追赃复杂度。
• 市场风险：TRU 基本归零，流动性枯竭，短期投机与价格操纵风险高。
• 监控要点：
  1. 官方后续技术复盘与补偿计划。
  2. 攻击者地址进一步转账或尝试在 CEX 提现迹象。
  3. 社区治理与资金重组提案进展。

结论

TRUEBIT 遭遇的 8 535 ETH 攻击源于陈旧 Purchase 合约的严重定价漏洞，暴露了“验证层”项目在代码维护与安全审计上的疏忽。事件不仅击穿协议资产，也使 TRU 代币价值近乎清零，令社区信心受创。短期内，项目生存与用户损失补偿高度依赖官方的技术补救力度与法律追赃成效；若无法尽快封堵漏洞、恢复储备及清晰沟通治理路线，TRUEBIT 面临被市场彻底淘汰的风险。