Truebit Protocol 因計算漏洞遭黑客攻擊，損失8,535.36 ETH

攻擊事件概要

2026年1月8日，去中心化計算驗證協議Truebit Protocol遭黑客攻擊，導致8,535.36枚ETH（約2,644萬美元）被盜。該事件引發市場高度關注，並導致其代幣TRU價格暴跌近100%。

攻擊者透過循環四次調用 getPurchasePrice → 0xa0296215 → 0xc471b10b 的交易完成攻擊。以第一次循環為例：

1. 攻擊者調用 getPurchasePrice(240442509453545333947284131)，返回值為0。

2. 接著調用 0xa0296215(c6e3ae8e2cbab1298abaa3)，且 msg.value 為0，成功鑄造240442509453545333947284131枚TRU。

3. 最後調用 0xc471b10b(c6e3ae8e2cbab1298abaa3)，銷毀相同數量的TRU，並獲取5105.06枚ETH。

攻擊的根本原因在於代幣購買價格計算邏輯存在嚴重的整數溢出漏洞。合約使用Solidity ^0.6.10版本，未對關鍵算術運算進行安全檢查，導致在計算過程中出現溢出，使結果錯誤為零。

具體而言，變數v12與v9的加總（v12 + v9）因數值過大而溢出，最終導致計算結果為0，進而讓攻擊者以極低價格購入代幣並獲利。

此次攻擊事件顯示，舊版DeFi協議若未進行充分安全審計，可能成為黑客自動化掃描與攻擊的目標。類似Balancer與yETH的攻擊事件亦顯示此趨勢正日益增加。

專家建議項目方應立即進行新版本合約的安全審計，若發現漏洞，需盡快升級合約或進行資產轉移，並加強鏈上監控，以降低損失風險。