2026-01-09 11:28:14

In the early morning of January 9th, a sudden attack turned a smart contract deployed by Truebit Protocol five years ago into an "ATM"—attackers drained 8,535.36 ETH from the contract in a short period of time, worth approximately $26.4 million at that price.

The security team's analysis unveiled the details of this incident. The attack methodology was not complex, but proved to be exceptionally effective.

**The attack process was as follows:**

First, attackers called the getPurchasePrice() function to probe price information. Next, they targeted a flawed function in the contract, initiating calls with extremely small msg.value. Since the contract code was not open-sourced, through decompilation it was inferred that this function contained arithmetic logic vulnerabilities—likely improper integer truncation handling, which allowed attackers to mint a large amount of TRU tokens out of thin air.

Then came the critical step: using the burn function to "sell back" these counterfeit tokens to the contract, extracting real ETH in the process. This operation was executed repeatedly 5 times, with msg.value increasing incrementally each time, ultimately draining almost all ETH reserves from the contract.

This incident sounded an alarm for the industry—even "established" projects deployed five years ago can become targets in hackers' sights if their contract logic contains vulnerabilities and fail to be updated in time.

ETH1,98%

TRU-0,02%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

5 Лайков

Награда
5
7
Репост
Поделиться

комментарий

0/400

HorizonHunter

· 8ч назад

Целочисленное усечение — такой низкосортной ошибке не исправляли пять лет, это действительно удивительно… Старый проект так и был захвачен

Посмотреть ОригиналОтветить0

RatioHunter

· 01-11 04:16

Ух ты, как можно так играть с пятилетним старым контрактом? Такой низкий уровень уязвимости, как усечение целых чисел, и никто не заметил, смешно

Посмотреть ОригиналОтветить0

ChainWallflower

· 01-09 11:54

Теперь всё плохо, даже пятилетний контракт не удержать, такой низкосортный баг, как усечение целых чисел, может привести к сбою, неудивительно, что так много старых проектов превратились в автоматы для снятия средств

Посмотреть ОригиналОтветить0

SocialFiQueen

· 01-09 11:49

Черт, уязвимость целочисленного усечения еще можно использовать пять лет? Truebit, насколько же вы ленивы...

Посмотреть ОригиналОтветить0

RooftopVIP

· 01-09 11:48

Черт, старый проект уже пять лет, и его так легко обмануть… действительно без слов, кто бы мог подумать.

Посмотреть ОригиналОтветить0

OvertimeSquid

· 01-09 11:48

Пять летний старый контракт все еще можно эксплуатировать, это действительно абсурдно. Почему еще не исправили такую простую уязвимость, как переполнение целых чисел?

Посмотреть ОригиналОтветить0

GateUser-9ad11037

· 01-09 11:48

Контракт, не обновлявшийся пять лет, всё ещё держит столько ETH? Разве это не самоотдача хакерам?

Посмотреть ОригиналОтветить0