Pierwszy poważny hack w 2026 roku: protokół Truebit traci 26,4 miliona dolarów z powodu podatności na inteligentne kontrakty

Jest to pierwsze udokumentowane poważne włamanie do DeFi w 2026 roku, podkreślające ciągłe zagrożenia bezpieczeństwa w ekosystemie Ethereum, nawet w przypadku projektów o długiej historii. Według danych CertiK podejrzane transakcje zostały wykryte wczoraj, 8 stycznia, a hakerowi udało się wypłacić środki za pomocą exploita w starym inteligentnym kontrakcie.

Truebit Protocol to platforma do weryfikacji obliczeń na Ethereum, która wykorzystuje token TRU do motywowania uczestników sieci. Projekt istnieje od 2020 roku, ale luka była ukryta w przestarzałym kontrakcie (adres: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), który nie przeszedł odpowiedniego audytu ani aktualizacji. W wyniku ataku cena tokena TRU spadła o prawie 100%, z 0,16 USD do praktycznie zera (0,0000000029 USD), niszcząc kapitalizację rynkową i płynność projektu.

Jak dokładnie doszło do włamania?

Exploit opierał się na błędzie przepełnienia w funkcji getPurchasePrice() inteligentnego kontraktu. Funkcja ta oblicza cenę bicia (tworzenia) tokenów TRU na podstawie wzoru, który obejmuje całkowitą podaż tokenów, rezerwę ETH i kwotę, którą użytkownik chce kupić. W szczególności:

• Formuła oblicza zmienne takie jak v9 = 200 * total_supply * amount * reserve i v12 = 100 * amount * amount * reserve.
• Następnie v9 + v12 są dodawane, a wynik jest dzielony przez inną zmienną (v6).
• Problem pojawia się przy dużych wartościach parametru "amount": suma v9 + v12 przekracza maksymalną wartość dla 256-bitowej liczby całkowitej (2^256), co prowadzi do przepełnienia. W Solidity (język inteligentnych kontraktów dla Ethereum) powoduje to zawinięcie wartości do małej liczby, co sprawia, że cena tokena wynosi praktycznie zero.

Haker wykorzystał to, wprowadzając dużą wartość "kwoty", aby wybić nieograniczoną liczbę tokenów TRU przy minimalnych kosztach (prawie za darmo). Tokeny te były następnie sprzedawane w pulach płynności na Uniswap lub podobnych platformach, wymieniając je na ETH z rezerw protokołu. Proces ten powtarzał się w pętli: bicie > sprzedaż > drenaż ETH. Główny haker (adres: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) wydobył główną kwotę, podczas gdy drugi zgarnął około 250 000 dolarów.

Co ciekawe, hakerzy przeprowadzili małe ataki testowe w ciągu kilku miesięcy(od 2 000 do 15 000 dolarów), zanim zdecydowali się na wielkie uderzenie.

Zespół Truebit potwierdził incydent i poradził użytkownikom, aby unikali interakcji z podatnym na ataki kontraktem. Współpracują z organami ścigania w celu przeprowadzenia dochodzenia, ale szanse na odzyskanie środków są niskie, jak to często bywa w przypadku hacków DeFi. Analitycy z Lookonchain i Cyvers zauważają, że jest to typowy przykład luki w starszym kodzie: stare kontrakty są często ignorowane, ale pozostają atrakcyjnym celem dla hakerów.

Implikacje rynkowe

Hack ten stał się pierwszym poważnym ciosem dla DeFi w 2026 roku, przypominając nam o podatnościach nawet w "ugruntowanych" projektach. Łączne straty z hacków w kryptowalutach w 2025 r. przekroczyły 2 mld USD, a trend ten nadal się utrzymuje. Inwestorom zaleca się sprawdzanie audytów umów i unikanie mniej znanych protokołów. Jest mało prawdopodobne, aby Truebit odzyskał swoją pozycję, ale wydarzenie to może zachęcić do stosowania lepszych praktyk bezpieczeństwa w branży, takich jak regularne audyty i migracja do nowych kontraktów.