TRUEBIT 攻擊事件綜合簡報（截至 2026-01-09 03:25 UTC）

TL;DR

1. TRUEBIT 核心合約於 2026-01-08 18:00-23:00 UTC 遭到利用，攻擊者通過舊版 Purchase 合約的定價缺陷非法鑄造 TRU 並轉移 8 535 ETH（約 2 640 萬美元）。
2. 漏洞成因系早期合約參數配置不當，允許以極低成本鑄幣並提取合約中抵押的 ETH。
3. 事故導致 TRU 價格兩日內暴跌 99 %+ 至近零，項目方已發佈警告並聯系執法機關，但尚未公佈補償或復原方案。

核心分析

1. 事件概述

• 確認：Lookonchain、Cointelegraph、Ambcrypto 等多方監測及媒體在 1 月 8-9 日陸續報道 TRUEBIT 安全事故，均指向同一筆 8 535 ETH 失竊事件。
• 攻擊手法：利用部署約五年前的 Purchase 合約中“Attack”（購幣）函數的定價漏洞，零成本或極低成本鑄造 TRU，再將合約中的抵押 ETH 轉出。
• 官方聲明：Truebit Protocol 官方於 1 月 8 日在 X（@Truebitprotocol）確認安全事件，提醒用戶停止與受影響合約交互，並稱已與執法部門合作調查。

2. 時間線

3. 漏洞與攻擊細節

• 受影響合約：舊版 Purchase 合約（官方公告標記：0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2）。
• 漏洞類型：定價邏輯/參數配置缺陷，允許攻擊者用遠低於實際成本甚至零成本的價格鑄幣。
• 主要攻擊地址：0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50（Etherscan 標籤：Truebit Exploiter 1）。
• 示例交易：0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014 —— 單筆轉出 8 535 ETH。

4. 資金流向與受損規模

• 損失總額：8 535 ETH（按事件當時 ~$3 100 /ETH 計約 2 640-2 660 萬美元）。
• 後續動作：約一半資金已被分散轉移，部分 ETH 進入其他地址及去中心化交易所，疑似進行混洗。
• TVL 影響：TRUEBIT 未在主流 DeFi 聚合器列出 TVL；本次失竊金額佔其鏈上儲備的絕大部分，協議有效 TVL 跌至近零。

5. 市場價格與流動性

• 市場拋售與流動性枯竭導致 TRU 兩日內蒸發幾乎全部市值；24 h 交易量僅餘 ~$37.6k，流通量指標顯示流動性凍結。

6. 社群情緒與爭議

• 整體氛圍：悲觀且質疑；大量評論指出“以驗證安全為核心賣點，卻因未維護老合約被攻破”的諷刺意味。
• 正向聲音：認可團隊迅速披露並啟動執法程序，但擔憂補償與治理前景。
• 爭議點
  1. 是否存在內部知情或權限漏洞，導致攻擊路徑異常簡單。
  2. TRUEBIT 多年未做合約審計或參數更新，與其定位嚴重不符。
  3. 事故後續是否會導致項目停擺或社區遷移至替代方案。

7. 風險評估與後續觀察

• 技術風險：
  • 舊版合約長期無審計、無參數更新，潛藏類似漏洞的概率較高。
  • 攻擊者已證明可一次性提取全部抵押 ETH，未來回補資金難度大。
• 法律與合規：項目方已聯繫執法部門，但跨鏈、鏈上混幣將加大追贓複雜度。
• 市場風險：TRU 基本歸零，流動性枯竭，短期投機與價格操縱風險高。
• 監控要點：
  1. 官方後續技術覆盤與補償計劃。
  2. 攻擊者地址進一步轉賬或嘗試在 CEX 提現跡象。
  3. 社區治理與資金重組提案進展。

結論

TRUEBIT 遭遇的 8 535 ETH 攻擊源於陳舊 Purchase 合約的嚴重定價漏洞，暴露了“驗證層”項目在代碼維護與安全審計上的疏忽。事件不僅擊穿協議資產，也使 TRU 代幣價值近乎清零，令社區信心受創。短期內，項目生存與用戶損失補償高度依賴官方的技術補救力度與法律追贓成效；若無法儘快封堵漏洞、恢復儲備及清晰溝通治理路線，TRUEBIT 面臨被市場徹底淘汰的風險。