Нативный токен TRU инфраструктурного проекта Truebit, основанного на Ethereum, обвалился почти на 100% после того, как из-за эксплойта смарт-контракта из протокола было выведено более $26,4 млн. Атака началась с подозрительной ончейн-транзакции и быстро привела к полной утечке ликвидности.
Примечательно, что злоумышленник воспользовался ошибкой в математических расчетах в контракте выпуска токенов Truebit, который неправильно оценивал TRU почти в ноль. Этот баг позволил атакующему чеканить огромное количество токенов TRU практически бесплатно.
После этого злоумышленник продавал их обратно в пул. Каждый цикл выводил всё больше ETH ETH $3 091 24h volatility: 0.8% Market cap: $373.01 B Vol. 24h: $15.70 B из протокола. По данным блокчейна, злоумышленник также заплатил небольшой "билдер-вознаграждение" для ускорения транзакции и предотвращения вмешательства.
Исследователь безопасности Вэйлинь Ли независимо подтвердил, что эксплойт был основан на пятилетней ошибке в смарт-контракте. Частные ключи не были скомпрометированы, система дала сбой исключительно из-за ошибки в математике.
Еще один взлом на 26М. @Truebitprtocol
Я пока не декомпилировал уязвимый код, но коренной причиной, похоже, является неправильно оцененная функция выпуска в контракте покупки, которая позволяет любому покупать токен TRU по очень низкой цене.
Первый атакующий (прибыль 26М):… pic.twitter.com/qmoDB54I0w
— Weilin (William) Li (@hklst4r) 8 января 2026
Выведено $26,4 млн в ETH
Согласно данным блокчейна, хакер распределил 8 535 ETH украденных средств между двумя кошельками. Один получил около 4 267 ETH, другой — около 4 001 ETH.
После вывода ликвидности рыночная структура TRU мгновенно рухнула. До эксплойта TRU торговался около $0,16. Однако после инцидента монета обвалилась более чем на 99% — до примерно $0,00.
На момент написания статьи TRU торгуется около $0,034. По данным CoinMarketCap, альткоин практически полностью потерял рыночную капитализацию.
Реакция команды Truebit
Truebit признал инцидент в X и сообщил, что работает с правоохранительными органами для урегулирования ситуации. На момент публикации не было подтверждено ни плана восстановления, ни деталей компенсаций.
Сегодня мы узнали о инциденте безопасности с участием одного или нескольких злоумышленников. Затронутый смарт-контракт: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2, и мы настоятельно рекомендуем общественности не взаимодействовать с этим контрактом до дальнейших уведомлений. Мы на связи с правоохранительными органами…
— Truebit (@Truebitprotocol) 8 января 2026
Этот инцидент стал первой крупной криптовалютной атакой 2026 года, следом за годом, в котором произошло несколько эксплойтов DeFi. В 2025 году такие протоколы, как Balancer, понесли крупные убытки из-за уязвимостей в смарт-контрактах.
Криптожурналист с более чем 5-летним опытом работы в индустрии, Партх сотрудничал с крупными медиа в мире криптовалют и финансов, получив ценный опыт на бычьем и медвежьем рынках. Партх также автор четырех самостоятельно изданных книг.
