资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
快速解析
由于智能合约溢出漏洞允许攻击者以近乎零成本铸造TRU代币,Truebit损失了2600万美元。此次攻击导致TRU价格暴跌99%,突显了与过时Solidity版本相关的风险。即便网络钓鱼和社会工程学攻击日益增多,智能合约缺陷依然是加密领域最大的威胁。
一个严重的智能合约缺陷导致离线计算协议Truebit遭受2600万美元的攻击,其原生TRU代币价值几乎归零,并再次引发了人们对长期存在的智能合约漏洞的担忧。
慢雾:Truebit协议事件分析
1月8日,Truebit协议因其购买合约中的整数溢出漏洞遭到利用,攻击者得以近乎零成本铸造TRU代币,并盗取了8,535枚ETH(约合2644万美元)。
根本原因:缺少溢出保护
区块链安全公司慢雾于本周一发布事件分析报告,指出此次漏洞源于智能合约逻辑缺陷,而非复杂的外部黑客攻击。
该事件于上周五首次曝光,攻击者利用允许几乎零成本铸造代币的漏洞后,Truebit(TRU)代币价格暴跌99%。
溢出漏洞实现近乎免费的代币铸造
据慢雾分析,攻击者利用了Truebit购买合约中缺失的溢出保护机制。由于加法运算中的整数溢出,合约错误计算了铸造TRU代币所需的ETH数量。
由于该合约使用Solidity 0.6.10版本编译(该版本缺乏内置溢出检查),超过uint256最大值的计算会静默回绕,产生接近零的数值。
此错误将代币铸造成本实质上降为零,使得攻击者能够从协议储备中生成并提取价值约2600万美元的TRU代币。
旧协议带来的加密安全新风险
此次攻击事件警示人们,即便成熟的区块链项目仍面临安全风险。Truebit于2021年4月在以太坊主网上线,鉴于该协议存在时间较长,此漏洞尤为令人担忧。
智能合约漏洞持续主导加密攻击途径。慢雾2025年终报告显示,去年合约漏洞占所有加密攻击事件的30.5%,共报告56起事件,超过其他任何类别。
安全研究也在快速发展。去年底发布的一项研究发现,包括Claude Opus 4.5、Claude Sonnet 4.5和OpenAI的GPT-5在内的人工智能模型,在受控测试中共同识别出价值460万美元的智能合约漏洞。
与此同时,攻击者正逐渐从协议黑客攻击转向社会工程学手段。据CertiK统计,2025年加密钓鱼诈骗成为第二大威胁,共发生248起事件,造成投资者损失7.22亿美元。尽管该数字较2024年下降38%,但表明用户安全意识正在提升。
