Первый крупный взлом 2026 года: протокол Truebit потерял $26,4 млн из-за уязвимости смарт-контрактов

Это первый задокументированный крупный взлом DeFi в 2026 году, подчеркивающий сохраняющиеся риски безопасности в экосистеме Ethereum, даже для проектов с долгой историей. Согласно данным CertiK, подозрительные транзакции были обнаружены вчера, 8 января, и хакер успешно вывел средства с помощью эксплойта в старом смарт-контракте.

Truebit Protocol - это платформа для верификации вычислений на Ethereum, которая использует токен TRU для стимулирования участников сети. Проект существует с 2020 года, но уязвимость была скрыта в устаревшем контракте (адрес: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), который не проходил должного аудита и не обновлялся. В результате атаки цена токена TRU упала почти на 100%, с $0,16 до практически нуля ($0,0000000029), сведя на нет рыночную капитализацию и ликвидность проекта.

Как именно произошел взлом?

Эксплойт был основан на ошибке переполнения в функции getPurchasePrice() смарт-контракта. Эта функция рассчитывает цену майнинга (создания) токенов TRU на основе формулы, включающей общий запас токенов, резерв ETH и сумму, которую пользователь хочет приобрести. А именно:

• Формула вычисляет такие переменные, как v9 = 200 * total_supply * amount * reserve и v12 = 100 * amount * amount * reserve.
• Затем v9 + v12 складываются, и результат делится на другую переменную (v6).
• Проблема возникает при больших значениях параметра "сумма": сумма v9 + v12 превышает максимальное значение для 256-битного целого числа (2^256), что приводит к переполнению. В Solidity (язык смарт-контрактов для Ethereum) это сворачивает значение в небольшое число, делая цену токена практически нулевой.

Хакер воспользовался этим, введя большое значение "amount", чтобы намайнить неограниченное количество токенов TRU за минимальные деньги (почти бесплатно). Затем эти токены продавались в пулах ликвидности на Uniswap или аналогичных платформах, обмениваясь на ETH из резервов протокола. Процесс повторялся по кругу: майнинг > продажа > слив ETH. Главный хакер (адрес: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) добыл основную сумму, а второй забрал около $250 000.

Интересно, что хакеры проводили небольшие тестовые атаки в течение нескольких месяцев(от $2 000 до $15 000), прежде чем пойти на большой куш.

Команда Truebit подтвердила факт инцидента и посоветовала пользователям избегать взаимодействия с уязвимым контрактом. Они сотрудничают с правоохранительными органами для проведения расследования, но шансы на возврат средств невелики, как это часто бывает при DeFi взломах. Аналитики Lookonchain и Cyvers отмечают, что это типичный пример уязвимости в устаревшем коде: старые контракты часто игнорируются, но остаются привлекательной целью для хакеров.

Последствия для рынка

Этот взлом стал первым серьезным ударом по DeFi в 2026 году, напомнив нам об уязвимостях даже в "устоявшихся" проектах. Общие потери от взломов в криптовалюте в 2025 году превысили 2 миллиарда долларов, и тенденция продолжается. Инвесторам рекомендуется проверять аудиты контрактов и избегать менее известных протоколов. Truebit вряд ли восстановится, но это событие может послужить стимулом к улучшению практики безопасности в индустрии, например, к регулярным аудитам и переходу на новые контракты.