Truebit智能合约漏洞引发2600万美元损失归因于溢出错误_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Truebit智能合约漏洞引发2600万美元损失归因于溢出错误

2026-01-14 01:12:50

Truebit漏洞事件因何而起？

一起导致离线计算协议Truebit损失2600万美元的安全事件，再度引发了人们对智能合约长期风险的担忧——即便是已稳定运行数年的项目也未能幸免。此次攻击源于Truebit代币铸造逻辑中的缺陷，使得攻击者能够以近乎零成本大量生成代币。该事件导致TRU代币价格暴跌99%。

区块链安全公司SlowMist在事后分析报告中指出，攻击者利用了协议购买合约中的漏洞，实现了无需支付对应以太坊即可铸造代币的操作。报告解释称：“由于整数加法运算中缺乏溢出保护机制，Truebit协议的购买合约在计算铸造TRU代币所需的以太坊数量时产生了错误结果。”这一计算错误将代币价格归零，使得攻击者能够“以近乎零成本”铸造代币并耗尽储备金。

该合约使用Solidity 0.6.10版本编译，该版本尚未内置溢出检查功能。因此，当数值超过uint256变量最大值时，系统会默认将其循环转换为极小数值，实质上取消了铸造代币的成本。

核心启示

Truebit事件表明，遗留的智能合约代码仍可能隐藏致命缺陷。项目运行时间与既往使用记录并不能消除技术风险。

长期运行协议为何仍存风险？

Truebit于2021年4月在以太坊主网上线，在漏洞发生前已稳定运行近五年。然而这段历史并未能阻止一个底层算术问题演变为灾难性故障。此类案例正不断增多，证明项目运行时长与安全性并不等同。

许多早期以太坊项目诞生于更安全的编译器默认设置和严格审计标准普及之前。尽管新版Solidity语言已具备溢出自动回滚机制，但未升级改造或未加强防护的旧合约仍暴露于风险之中。在Truebit案例中，仅一个未受保护的算术运算就足以破坏整个铸造流程。

该事件同时凸显了升级惰性带来的风险。为减少系统扰动而避免频繁更新合约的协议，可能无形中积累着技术债务，攻击者则愿意花费数月时间进行挖掘。

智能合约漏洞仍是首要威胁吗？

SlowMist年度报告数据显示，智能合约漏洞在2025年仍是加密货币损失的首要原因。该机构记录了56起相关事件，占全年已披露攻击事件的30.5%。账户盗用事件以50起居次，私钥泄露位列第三。这一模式表明，攻击者仍认为协议级漏洞比针对个人用户或中心化平台的攻击更具盈利空间——一个广泛使用代码中的单点缺陷，单次交易即可解锁数千万美元资产。

与此同时，其他威胁载体依然活跃。据CertiK统计，钓鱼诈骗在2025年248起事件中造成投资者7.22亿美元损失，位列加密货币用户面临的第二大金融威胁。虽然该数字较2024年的10亿美元有所下降，但说明社会工程学攻击在与技术漏洞利用并行的过程中仍具有持续效力。