$26 млн за бесценок. Хакер нашел уязвимость в пятилетнем контракте Truebit и стал миллионером

Truebit TRU ETH смарт-контракт криптовалюта
$26 млн за бесценок. Хакер нашел уязвимость в пятилетнем контракте Truebit и стал миллионером
Truebit TRU ETH смарт-контракт криптовалюта

Атакующий нашел способ чеканить TRU почти бесплатно и обменял это на тысячи ETH.

image

В начале января 2026 года злоумышленник нашёл слабое место в контракте покупки и минта TRU биржи Truebit и превратил токены в печатный станок почти бесплатных монет. Дальше эти TRU хакер продал обратно в пул с кривыми привязками (Bonding Curves), вытащив, по оценке, около 26 млн долларов.

По описанию инцидента, атака уперлась в старый смарт-контракт, которому примерно 5 лет и который в экосистеме Truebit так и не заменили, хотя внутри оставались значимые резервы в ETH. Контракт при этом был закрытым: исходники не публиковались, из-за чего со стороны нельзя было нормально оценить его логику и риски, а сейчас сложно точно восстановить первопричину бага.

Ключевой проблемой стала математика ценообразования TRU. В определённом состоянии контракт начинал считать цену токена почти нулевой. Нападающий отправлял огромные запросы на минт с тщательно подобранным msg.value, и на этапе расчёта цены получал некорректное значение, фактически позволяющее чеканить TRU за копейки. В описании упоминается цепочка вызовов через getPurchasePrice, где дальше вызывается ещё одна функция с низким msg.value, и именно там, вероятно, и прячется уязвимость. Но из-за закрытого кода точный механизм остаётся неочевидным.

Получив источник почти бесплатных TRU, атакующий начал выкачивать из контракта реальную стоимость. Он делал серию крупных минтов, каждый раз подбирая msg.value так, чтобы контракт продолжал оставаться в нужном «сломленном» состоянии и дальше возвращал неверные значения. Когда TRU накопилось достаточно, их можно было сжечь и забрать ETH из смарт-контракта. Общий ущерб оценивается примерно в 8 535 ETH, что в пересчёте на деньги и даёт около 26 млн долларов.

Отдельно отмечается приём, который давно стал стандартом в гонке за выгодой в DeFi. Атакующий заплатил небольшую сумму за приоритет включения транзакций в блок и защиту от вмешательства и фронтраннинга. Это помогло провести серию операций последовательно, не дав сторонним наблюдателям или самой команде TRU вклиниться и сбить атаку.

Инцидент снова напомнил базовую вещь – смарт-контракты нужно регулярно пересматривать, проводить аудит и следить за аномалиями в ончейне, особенно если речь про контуры минта, выкупа и пулы ликвидности.