Токен Truebit падает после утечки 26,6 миллиона долларов в ETH, которая выявила уязвимость в наследуемом контракте

• Exploit Truebit истощил более $26 миллионов после того, как злоумышленники использовали устаревший смарт-контракт, всё ещё связанный с активными пулами ликвидности.

• Токен TRU рухнул почти до нуля за считанные часы, поскольку панические продажи распространились по рынкам, а ликвидность быстро исчезла.

• Инцидент показывает, насколько устаревшие DeFi-контракты остаются серьёзной угрозой безопасности, несмотря на годы обновлений протоколов.

Протокол Truebit понёс крупный сбой безопасности в четверг, вызвав один из самых резких крахов токена, зафиксированных в 2026 году. Данные блокчейна подтвердили, что злоумышленники истощили около 8 535 эфиров, оценённых примерно в $26,6 миллиона.

Токен TRU от Truebit упал почти на 100% после того, как эксплойт истощил около 8 535 эфиров, оценённых примерно в $26,6 миллиона, из его резервов.

Атака использовала уязвимость в более старом смарт-контракте, что позволило злоумышленнику бесплатно купить TRU и продать его обратно, чтобы извлечь эфир. pic.twitter.com/gWn5sgCJ1Q

— TheCryptoBasic (@thecryptobasic) 9 января 2026

По мере развития эксплойта токен TRU рухнул с примерно $0,16 до почти нуля за считанные часы. Внезапное падение вызвало панические продажи и нарушило ликвидность на нескольких торговых площадках. Участники рынка с трудом реагировали, поскольку волатильность усиливалась за короткое время.

Устаревший контрактный дефект позволил осуществить эксплойт

Расследователи проследили источник взлома до устаревшего смарт-контракта, всё ещё связанного с активными пулами ликвидности. Контракт содержал ошибку ценообразования, которая позволила злоумышленникам бесплатно создавать токены TRU. Используя эту уязвимость, злоумышленники многократно покупали и продавали TRU, чтобы извлечь эфир из резервов протокола. Кроме того, быстрое последовательное выполнение транзакций помогало обойти ранние меры защиты сети Ethereum. Эти условия позволили эксплойту быстро масштабироваться до обнаружения.

Инструменты мониторинга блокчейна зафиксировали аномальные транзакционные паттерны вскоре после начала эксплойта. Аналитики заметили сделки, не соответствующие обычной активности протокола. Также один кошелек получил большую часть истощённого эфира за считанные минуты. Злоумышленник также использовал небольшие взятки для получения приоритета в блоках. В результате эксплойт достиг высокой скорости извлечения средств по нескольким блокам.

Анализ на блокчейне указывает на нескольких участников

Дальнейшее расследование показало, что эксплойт основывался на ошибочной функции чеканки, встроенной несколько лет назад. Уязвимый код датировался почти пятилетней давностью и пережил несколько обновлений протокола. Разработчики никогда не отключали старые разрешения во время предыдущих переходов сети. В результате, устаревший контракт сохранял доступ к пулам ликвидности. Этот недосмотр создал точку входа для злоумышленников, знакомых с историческими развертываниями.

Исследователи блокчейна также выявили активность, указывающую на участие двух злоумышленников во время окна эксплойта. Один адрес захватил примерно $26 миллион эфира из протокола. Другой адрес получил около $250 000 после обнаружения уязвимости позднее. Тем временем, спекулятивные трейдеры, судя по всему, следили за данными мемпула во время волатильности. Эти взаимодействия добавили сложности в on-chain активность.

Рынок ускорил крах токена

Команда Truebit признала осведомлённость о инциденте вскоре после его обнаружения. Они предостерегли пользователей не взаимодействовать с затронутым адресом контракта. Разработчики также связались с правоохранительными органами и начали внутренние расследования. Однако они не подтвердили немедленное приостановление работы контракта во время первоначальной реакции. Эта неопределённость усилила рыночную тревогу.

Давление на продажу усилилось по мере исчезновения ликвидности на торговых платформах. Токен TRU упал почти до нуля, оставив многих держателей неспособными выйти из позиций. Тонкие книги ордеров усугубили убытки, поскольку арбитражные потоки остановились. В результате, за считанные часы исчезла рыночная капитализация, накопленная за годы. Этот крах подчеркнул скорость, с которой может разрушиться доверие.

Эксплойты DeFi подчеркивают риски устаревшего кода

Инцидент с Truebit добавляется к растущему списку сбоев безопасности в децентрализованных финансах. Компании по безопасности сообщают, что злоумышленники всё чаще нацеливаются на забытые разрешения в старых контрактах. Разработка протоколов зачастую опережает всесторонние аудиты устаревших развертываний. Поэтому неправильно оценённая логика, встроенная много лет назад, может оставаться незамеченной. Эти уязвимости продолжают представлять системные риски для сектора.

Недавние инциденты отражают схожие паттерны на крупных платформах. Balancer сообщил о потерях свыше $120 миллиона из-за ошибки округления. Bunni и Nemo также раскрыли утечки из контрактов, связанные с устаревшей логикой. Отдельно Kontigo столкнулся с взломом кошелька, в результате которого было украдено более 340 000 USDC, но был произведён возврат средств. Trust Wallet столкнулся с эксплойтом расширения Chrome, в результате которого было украдено примерно $7 миллиона у пользователей.