Протокол офлайн-вычислений Truebit потерял $26 миллионов из-за бага переполнения в смарт-контракте, который позволил злоумышленнику создавать токены практически без затрат. Это привело к падению цены токена TRU на 99%.
Эксплойт в размере $26 млн произошёл из-за ошибки в логике смарт-контракта протокола, позволившей злоумышленнику чеканить огромное количество токенов без эфира, как сообщили специалисты по безопасности SlowMist, опубликовавшие анализ инцидента во вторник.
Техническая причина уязвимости и последствия для Truebit
SlowMist указали, что из-за отсутствия защиты от переполнения при операции сложения целых чисел контракт Purchase протокола Truebit неправильно вычислял нужное количество эфира для чеканки токенов TRU.
В результате цена в контракте была ошибочно снижена до нуля, что позволило злоумышленнику вывести из резервов протокола токены на сумму $26 млн почти без затрат, уточняется в постмортем-анализе.
Контракт был скомпилирован с использованием Solidity версии 0.6.10, в которой отсутствовала встроенная проверка переполнения, из-за чего вычисления, превышающие максимальное значение uint256, приводили к тихому переполнению и превращались в маленькое значение, близкое к нулю.
Опасности для смарт-контрактов и криптоиндустрии в 2025 году
Данный инцидент демонстрирует, что и давно работающие протоколы подвержены атакам хакеров. Truebit был запущен в mainnet ethereum/" class="smart-link" title="Ethereum">Ethereum почти пять лет назад — в апреле 2021 года.
Безопасность смарт-контрактов вызвала повышенный интерес в конце прошлого года после исследования Anthropic, которое выявило уязвимости на $4,6 млн, обнаруженные коммерческими AI-агентами.
AI-модели Claude Opus 4.5, Claude Sonnet 4.5 от Anthropic и GPT-5 от OpenAI суммарно разработали эксплойты на эту сумму при тестировании смарт-контрактов, говорится в отчёте команды, занимающейся поиском уязвимостей до их эксплуатации злоумышленниками.
Кибератаки и угрозы крипторынку в 2025 году
Согласно годовому отчёту SlowMist, в 2025 году уязвимости в смарт-контрактах стали основной причиной атак в криптоиндустрии — 56 случаев, при этом на втором месте по частоте оказались компрометации аккаунтов — 50 случаев.
В целом уязвимости в контрактах составляли 30,5% от всех криптоэксплойтов за год, взломанные аккаунты — 24%, а утечки приватных ключей — 8,5%.
В то же время хакеры меняют тактику с атак на протоколы на эксплуатацию человеческих факторов в onchain-среде. Так, криптофишинг стал второй по значимости угрозой 2025 года, вызвав потери инвесторов на $722 млн в 248 инцидентах, по данным платформы CertiK.
Фишинговые атаки основаны на социальной инженерии, без взлома кода — злоумышленники распространяют ложные ссылки для кражи приватных ключей и другой конфиденциальной информации.
При этом потери от фишинга сократились на 38% по сравнению с $1 млрд в 2024 году.
Инцидент с Truebit демонстрирует сохраняющуюся уязвимость в смарт-контрактах, особенно при использовании устаревших версий компиляторов без защиты от переполнения. Это подчеркивает необходимость постоянного аудита и обновления безопасности в протоколах, даже тех, что существуют длительное время.
