Токен Truebit обрушился на 99,9% после того, как хакер вывел эфир на сумму $26,6 млн

Токен TRU проекта Truebit обвалился почти на 100% в четверг после того, как из резервов протокола было выведено около 8 535 ether на сумму примерно $26,6 миллиона в результате эксплойта, согласно данным onchain и независимым исследователям.

Truebit, проект на базе Ethereum, занимающийся верификацией и вычислениями, сообщил, что «осведомлён о инциденте безопасности с участием одного или нескольких злоумышленников», добавив, что находится в контакте с правоохранительными органами и предпринимает шаги для решения ситуации.

Аналитики блокчейна из Lookonchain оценили сумму кражи в 8 535 ETH. Исследователь Weilin Li связал атаку с уязвимостью в старом смарт-контракте, развернутом примерно пять лет назад, где функция minting могла возвращать нулевую цену покупки при необычно крупной покупке токенов.

Это позволило злоумышленнику неоднократно покупать TRU практически бесплатно, а затем немедленно продавать его обратно в резерв с bonding-curve, чтобы вывести ether.

Независимый onchain-исследователь “n0b0dy” описал схему как серию циклов покупки и продажи, эксплуатирующих неправильное ценообразование по мере изменения баланса резерва, что постепенно истощало пул. Участвующий кошелек, по сообщениям, заплатил небольшой builder-bribe для приоритизации транзакций.

Эксплойт привёл к почти полной обесценке TRU: токен рухнул на 99,9% на фоне исчезновения ликвидности и массового исхода держателей.

Этот инцидент в очередной раз напоминает, что старые контракты могут оставаться уязвимыми для атак даже спустя долгое время после того, как о них перестают вспоминать.

Даже если текущий код протокола обновлён, старые развернутые контракты и забытая логика ценообразования всё равно могут стать целью, если они содержат ценность или связаны с резервами.

Truebit пока не опубликовал полный разбор инцидента и не подтвердил, были ли приостановлены затронутые контракты.