Truebit-Protokoll verliert $26 Million durch Smart-Contract-Sicherheitslücke: Team bestätigt Hack und ruft zur Vorsicht auf

Truebit Protocol verliert etwa $26 Million nach einem ausgeklügelten Exploit, bei dem ein veralteter Smart Contract angegriffen wurde und 8.535 ETH aus den Reserven der Plattform abgezogen wurden.

(Quellen: X)

Truebit bestätigte den Hack in einer offiziellen Stellungnahme und riet den Nutzern, alle Interaktionen mit dem betroffenen Vertrag während der laufenden Untersuchungen in Zusammenarbeit mit den Strafverfolgungsbehörden zu vermeiden. Dieser Analysten-Einblick untersucht die Angriffsmechanik, die on-chain-Folgen, die offizielle Reaktion und die breiteren Implikationen für die Sicherheit von Legacy-DeFi-Systemen ab dem 9. Januar 2026.

Details des Exploits: Wie Truebit Protocol Reserven verliert

Der Angriff nutzte eine Preis-Schwachstelle im fünf Jahre alten Purchase-Vertrag von Truebit (Adresse: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2). Die Schwachstelle ermöglichte es dem Angreifer, Milliarden von TRU-Token zu minten, zu minimalen Kosten, und den Vorgang wiederholt zu loop-en, um ETH-Reserven abzuziehen.

Sicherheitsfirmen wie CertiK und PeckShield meldeten die anomale Aktivität in Echtzeit, wobei der Exploitant Gelder auf mehrere Wallets verteilte und Spuren hinterließ, die auf einen früheren kleineren Exploit hinweisen.

• Gestohlene Menge: 8.535 ETH (~26,44 Millionen US-Dollar zum Zeitpunkt des Hacks).
• Verwundbarer Vertrag: Legacy Purchase-Mechanismus.
• Exploit-Methode: Mint-and-Drain-Loop via Preisfehler.
• Erkennung: Schnelle Warnmeldungen von mehreren Überwachungsteams.

Offizielle Reaktion: Truebit bestätigt Hack und gibt Warnungen heraus

Truebit bestätigte den Hack über offizielle Kanäle und Lookonchain-Disclosures und betonte, dass der Vorfall auf den Legacy-Vertrag beschränkt ist. Das Team forderte die Nutzer sofort auf, alle Interaktionen einzustellen, und arbeitet mit den Strafverfolgungsbehörden an Wiederherstellungsmaßnahmen.

Updates werden ausschließlich über verifizierte Kanäle geteilt, um Fehlinformationen zu vermeiden.

• Team-Erklärung: Sofortige Bestätigung und Sicherheitshinweis für Nutzer.
• Strafverfolgung: Aktive Zusammenarbeit im Gange.
• Community-Richtlinien: Widerruf von Zugriffsrechten auf den betroffenen Vertrag.
• Transparenzversprechen: Regelmäßige offizielle Updates werden versprochen.

On-Chain-Folgen und unmittelbare Nachwirkungen

Nach dem Exploit wurde die gestohlene ETH auf verschiedene Adressen verteilt, was die Wiederherstellung erschwerte, aber forensische Spuren hinterließ. Die Reaktionen der Community konzentrierten sich auf Risiken in un-auditierten Legacy-Codes, mit Aufrufen zu Protokoll-übergreifenden Widerrufen von Zugriffsrechten und Upgrades.

Der TRU-Token reagierte stark, was die Marktbesorgnis über den Reservenabbau und die Kontinuität der Entwicklung widerspiegelt.

• Geldbewegung: Aufteilung auf Wallets mit Bezug zum früheren Exploit.
• Sicherheitslektion: Legacy-Verträge als anhaltende Schwachstellen.
• Markteinfluss: Erhöhte Vorsicht bei ähnlichen DeFi-Primitive.

Breitere Implikationen für DeFi-Sicherheit

Der Vorfall unterstreicht die anhaltenden Herausforderungen bei alternden Smart Contracts in lang laufenden Protokollen. Selbst geprüfte Codes können Schwachstellen aufweisen, wenn sich wirtschaftliche Bedingungen oder Nutzungsweisen ändern.

Truebit bestätigt hack dient als Erinnerung daran, dass Unveränderlichkeit beidseitig wirkt—Schwachstellen zu beheben, erfordert oft koordinierte Migrationen oder Upgrades.

• Legacy-Risiko: Nicht gewartete Verträge als Angriffsvektoren.
• Best Practices: Regelmäßige Audits, Widerruf von Zugriffsrechten, Timelocks.
• Branchenentwicklung: Zunehmender Fokus auf upgradefähige oder Proxy-Pattern.

Zusammenfassend verliert Truebit Protocol $26 Million durch einen Exploit an einem Legacy-Vertrag, wobei Truebit bestätigt hack die Reaktion auf den Vorfall priorisiert, um Nutzer zu schützen und die Untersuchung voranzutreiben. Während der Angriff auf die anhaltenden Risiken älterer Codes im DeFi-Bereich hinweist, bieten Transparenz des Teams und die Zusammenarbeit mit den Strafverfolgungsbehörden einen Weg zur Lösung. Nutzer sollten Warnungen beachten, den betroffenen Vertrag meiden und offizielle Kanäle für Wiederherstellungsupdates im Auge behalten—bei dezentralen Protokollen stets vorsichtig mit Wallet-Zugriffsrechten sein.