Första stora hacket 2026: Truebit-protokollet förlorar 26,4 miljoner dollar på grund av sårbarhet i smarta kontrakt

Detta är det första dokumenterade stora DeFi-hacket 2026, vilket belyser pågående säkerhetsrisker i Ethereums ekosystem, även för projekt med en lång historia. Enligt Certik-data upptäcktes misstänkta transaktioner igår den 8 januari och hackaren tog framgångsrikt ut pengar genom ett utnyttjande i ett gammalt smart kontrakt.

Truebit Protocol är en plattform för verifiering av beräkningar på Ethereum, som använder TRU-token för att stimulera nätverksdeltagare. Projektet har funnits sedan 2020, men sårbarheten var dold i ett föråldrat kontrakt (adress: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), som inte genomgick ordentlig revision eller uppdateringar. Som ett resultat av attacken sjönk priset på TRU-token med nästan 100%, från 0,16 dollar till praktiskt taget noll (0,0000000029 dollar), vilket utplånade projektets marknadsvärde och likviditet.

Hur exakt inträffade hacket?

Exploateringen baserades på ett överströmningsfel i getPurchasePrice()-funktionen i det smarta kontraktet. Denna funktion beräknar priset för att mynta (skapa) TRU-tokens baserat på en formel som inkluderar den totala tokenförsörjningen, ETH-reserven och det belopp som användaren vill köpa. Specifikt för detta:

• Formeln beräknar variabler som v9 = 200 * total_supply * belopp * reserv och v12 = 100 * belopp * belopp * reserv.
• Sedan adderas v9 + v12 och resultatet divideras med en annan variabel (v6).
• Problemet uppstår med stora värden på parametern "amount": summan v9 + v12 överskrider det maximala värdet för ett 256-bitars heltal (2^256), vilket leder till overflow. I Solidity (det smarta kontraktsspråket för Ethereum) omsluter detta värdet till ett litet tal, vilket gör att tokenpriset praktiskt taget är noll.

Hackaren utnyttjade detta genom att mata in ett stort "amount"-värde för att tillverka ett obegränsat antal TRU-tokens till en minimal kostnad (nästan gratis). Dessa tokens såldes sedan i likviditetspooler på Uniswap eller liknande plattformar, där de byttes mot ETH från protokollets reserver. Processen upprepades i en slinga: prägling > försäljning > ETH-dränering. Den primära hackern (adress: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) extraherade huvudbeloppet, medan en andra tog cirka 250 000 dollar.

Intressant nog genomförde hackarna små testattacker under flera månader(från $ 2 000 till $ 15 000) innan de gick för den stora hit.

Truebit-teamet bekräftade händelsen och rådde användarna att undvika att interagera med det sårbara kontraktet. De samarbetar med brottsbekämpning för en utredning, men chanserna att återvinna medlen är låga, vilket ofta är fallet i DeFi-hack. Analytiker från Lookonchain och Cyvers noterar att detta är ett typiskt exempel på en sårbarhet i äldre kod: gamla kontrakt ignoreras ofta men förblir ett attraktivt mål för hackare.

Implikationer för marknaden

Detta hack blev det första allvarliga slaget mot DeFi 2026 och påminde oss om sårbarheter även i "etablerade" projekt. De totala förlusterna från hack i krypto under 2025 översteg 2 miljarder dollar, och trenden fortsätter. Investerare uppmanas att kontrollera kontraktsrevisioner och undvika mindre kända protokoll. Truebit kommer sannolikt inte att återhämta sig, men händelsen kan uppmuntra till bättre säkerhetspraxis i branschen, till exempel regelbundna revisioner och migrering till nya kontrakt.