1月9日凌晨，一场突如其来的攻击让Truebit Protocol五年前部署的合约成了"提款机"——攻击者在短时间内掏空了合约中的8,535.36枚ETH，按当时价格计约2640万美元。

安全团队的分析揭开了这起事件的面纱。攻击手法并不复杂，但却异常有效。

**攻击流程是这样的：**

首先，攻击者通过调用getPurchasePrice()函数侦查价格信息。接着，他们瞄准了合约中存在缺陷的函数，以极小的msg.value发起调用。由于合约代码未开源，通过反编译推测这个函数存在算术逻辑漏洞——很可能是整数截断处理不当，导致攻击者得以凭空铸造大量TRU代币。

然后是关键一步：通过burn函数把这些凭空造出的代币"卖回"给合约，从中提取真实的ETH。这个操作反复执行了5次，每次msg.value逐步增加，最终把合约储备中的ETH几乎悉数掏空。

这次事件给业界敲了警钟——即使是五年前部署的"老牌"项目，如果合约逻辑存在漏洞又未及时更新，仍然可能成为黑客眼中的猎物。