離線計算協議Truebit遭受的2600萬美元漏洞利用源於智能合約缺陷,該缺陷允許攻擊者以近乎零成本鑄造代幣,凸顯了即使是長期運行的區塊鏈項目也存在持續的安全風險。
Cointelegraph週五報導指出,Truebit遭受了2600萬美元的漏洞攻擊,導致Truebit(TRU)代幣價格暴跌99%。
區塊鏈安全公司SlowMist週二發布的事後分析指出,攻擊者利用了該協議智能合約邏輯中的漏洞,使其能夠(在不支付任何ETH的情況下鑄造大量代幣)。
SlowMist表示:(由於整數加法操作中缺乏溢位保護,Truebit協議的Purchase合約在計算鑄造TRU代幣所需的ETH數量時產生了錯誤結果。)
事後分析顯示,智能合約的價格計算(被錯誤地降至零),使攻擊者能夠(以幾乎零成本)鑄造價值2600萬美元的代幣,從而耗盡合約儲備。
由於合約是用Solidity 0.6.10編譯的,早期版本沒有內建溢位檢查,導致超過(uint256)最大值的計算結果產生(靜默溢位),使結果(回繞為接近零的小值)。
這次漏洞表明,即使是較為成熟的協議也面臨駭客威脅。Truebit於近五年前的2021年4月在以太坊主網上推出。
去年年底,智能合約安全引起了廣泛關注,當時Anthropic的一項研究顯示,商用人工智慧(AI)代理發現了價值460萬美元的智能合約漏洞。
根據AI公司紅隊(專注於在惡意行為者發現漏洞之前發現程式碼漏洞的團隊)發布的研究論文,Anthropic的Claude Opus 4.5、Claude Sonnet 4.5和OpenAI的GPT-5在測試智能合約時共同開發了價值460萬美元的漏洞利用。
智能合約漏洞成為2025年最大攻擊途徑
據SlowMist年終報告顯示,智能合約漏洞在2025年成為加密貨幣行業最大的攻擊途徑,共記錄56起網路安全事件,而帳號被盜位居第二位,達50起事件。
SlowMist的數據指出,合約漏洞在2025年佔所有加密貨幣攻擊事件的30.5%,X平台帳號被駭佔24%,私鑰洩露以8.5%的比例位居第三。
與此同時,安全專家發現其他駭客正在轉變策略,從協議攻擊轉向利用鏈上人類行為中的薄弱環節。
區塊鏈安全平台CertiK報告顯示,加密貨幣釣魚詐騙成為2025年第二大威脅,在248起事件中共造成投資者累計損失7.22億美元。
CertiK的分析人員指出,加密貨幣釣魚攻擊是一種社會工程學手段,不需要入侵程式碼。攻擊者透過分享詐騙連結來竊取受害者的敏感資訊,如加密貨幣錢包的私鑰。
然而,投資者對這類威脅的警覺性正在提高,這7.22億美元的損失比2024年透過釣魚詐騙竊取的10億美元減少了38%。
