Перший великий злом 2026 року: протокол Truebit втратив $26,4 млн через вразливість смарт-контрактів

Це перший задокументований великий злом DeFi у 2026 році, який підкреслює постійні ризики безпеки в екосистемі Ethereum, навіть для проектів з багаторічною історією. За даними CertiK, підозрілі транзакції були виявлені вчора, 8 січня, і хакер успішно вивів кошти через експлойт в старому смарт-контракті.

Truebit Protocol - це платформа для перевірки розрахунків на Ethereum, яка використовує токен TRU для стимулювання учасників мережі. Проєкт існує з 2020 року, але вразливість була прихована в застарілому контракті (адреса: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), який не проходив належного аудиту та оновлень. В результаті атаки ціна токена TRU впала майже на 100%, з $0,16 до практично нуля ($0.0000000029), що знищило ринкову капіталізацію та ліквідність проекту.

Як саме стався злом?

Експлойт був заснований на помилці переповнення у функції getPurchasePrice() смарт-контракту. Ця функція розраховує ціну за карбування (створення) токенів TRU на основі формули, яка включає в себе загальну пропозицію токенів, резерв ETH і кількість, яку користувач хоче придбати. А саме:

• Формула обчислює такі змінні, як v9 = 200 * total_supply * amount * reserve і v12 = 100 * amount * amount * reserve.
• Потім v9 + v12 додаються, і результат ділиться на іншу змінну (v6).
• Проблема виникає при великих значеннях параметра "amount": сума v9 + v12 перевищує максимальне значення для 256-бітного цілого (2^256), що призводить до переповнення. У Solidity (мова смарт-контрактів для Ethereum) це призводить до округлення значення до невеликого числа, що робить ціну токена практично нульовою.

Хакер скористався цим, ввівши велике значення "суми", щоб викарбувати необмежену кількість токенів TRU за мінімальну вартість (майже безкоштовно). Потім ці токени продавалися в пулах ліквідності на Uniswap або подібних платформах, обмінюючись на ETH з резервів протоколу. Процес повторювався по колу: майнінг > продаж > злив ETH. Основну суму видобув основний хакер (адреса: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50), а другий - близько $250 000.

Цікаво, що хакери проводили невеликі тестові атаки протягом декількох місяців(від $2,000 до $15,000), перш ніж перейти до великого удару.

Команда Truebit підтвердила інцидент і порадила користувачам уникати взаємодії з вразливим контрактом. Вони співпрацюють з правоохоронними органами для проведення розслідування, але шанси на повернення коштів низькі, як це часто буває у випадку зі зломами DeFi. Аналітики Lookonchain і Cyvers відзначають, що це типовий приклад вразливості в застарілому коді: старі контракти часто ігноруються, але залишаються привабливою мішенню для хакерів.

Наслідки для ринку

Цей злом став першим серйозним ударом по DeFi у 2026 році, нагадавши нам про вразливості навіть в "усталених" проектах. Загальні збитки від зломів у криптовалюті в 2025 році перевищили $2 млрд, і тенденція продовжується. Інвесторам рекомендується перевіряти аудит контрактів і уникати маловідомих протоколів. Truebit навряд чи відновиться, але ця подія може стимулювати кращі практики безпеки в індустрії, такі як регулярний аудит і перехід на нові контракти.