离线计算协议Truebit遭受的2600万美元漏洞利用源于智能合约缺陷,该缺陷允许攻击者以近乎零成本铸造代币,凸显了即使是长期运行的区块链项目也存在持续的安全风险。
Cointelegraph周五报道指出,Truebit遭受了2600万美元的漏洞攻击,导致Truebit(TRU)代币价格暴跌99%。
区块链安全公司SlowMist周二发布的事后分析指出,攻击者利用了该协议智能合约逻辑中的漏洞,使其能够"在不支付任何ETH的情况下铸造大量代币"。
SlowMist表示:"由于整数加法操作中缺乏溢出保护,Truebit协议的Purchase合约在计算铸造TRU代币所需的ETH数量时产生了错误结果。"
事后分析显示,智能合约的价格计算"被错误地降至零",使攻击者能够"以几乎零成本"铸造价值2600万美元的代币,从而耗尽合约储备。
由于合约是用Solidity 0.6.10编译的,早期版本没有内置溢出检查,导致超过"uint256"最大值的计算结果产生"静默溢出",使结果"回绕为接近零的小值"。
这次漏洞表明,即使是较为成熟的协议也面临黑客威胁。Truebit于近五年前的2021年4月在以太坊主网上推出。
去年年底,智能合约安全引起了广泛关注,当时Anthropic的一项研究显示,商用人工智能(AI)代理发现了价值460万美元的智能合约漏洞。
根据AI公司红队(专注于在恶意行为者发现漏洞之前发现代码漏洞的团队)发布的研究论文,Anthropic的Claude Opus 4.5、Claude Sonnet 4.5和OpenAI的GPT-5在测试智能合约时共同开发了价值460万美元的漏洞利用。
智能合约漏洞成为2025年最大攻击途径
据SlowMist年终报告显示,智能合约漏洞在2025年成为加密货币行业最大的攻击途径,共记录56起网络安全事件,而账户被盗位居第二位,达50起事件。
SlowMist的数据指出,合约漏洞在2025年占所有加密货币攻击事件的30.5%,X平台账户被黑占24%,私钥泄露以8.5%的比例位居第三。
与此同时,安全专家发现其他黑客正在转变策略,从协议攻击转向利用链上人类行为中的薄弱环节。
区块链安全平台CertiK报告显示,加密货币钓鱼诈骗成为2025年第二大威胁,在248起事件中共造成投资者累计损失7.22亿美元。
CertiK的分析人员指出,加密货币钓鱼攻击是一种社会工程学手段,不需要入侵代码。攻击者通过分享欺诈链接来窃取受害者的敏感信息,如加密货币钱包的私钥。
然而,投资者对这类威胁的警惕性正在提高,这7.22亿美元的损失比2024年通过钓鱼诈骗窃取的10亿美元减少了38%。
