Første store hack i 2026: Truebit Protocol mister 26,4 millioner dollars på grund af sårbarhed i smartkontrakt

Dette er det første dokumenterede store DeFi-hack i 2026, og det understreger de løbende sikkerhedsrisici i Ethereum-økosystemet, selv for projekter med en lang historie. Ifølge Certik-data blev mistænkelige transaktioner opdaget i går, den 8. januar, og hackeren trak med succes penge ud gennem en udnyttelse af en gammel smart kontrakt.

Truebit Protocol er en platform til verificering af beregninger på Ethereum, som bruger TRU-tokenet til at motivere netværksdeltagere. Projektet har eksisteret siden 2020, men sårbarheden var skjult i en forældet kontrakt (adresse: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), som ikke gennemgik ordentlig revision eller opdateringer. Som følge af angrebet styrtdykkede prisen på TRU-token med næsten 100%, fra 0,16 $ til praktisk talt nul (0,0000000029 $), hvilket udslettede projektets markedsværdi og likviditet.

Hvordan skete hacket helt præcist?

Udnyttelsen var baseret på en overflow-fejl i getPurchasePrice()-funktionen i den smarte kontrakt. Denne funktion beregner prisen for prægning (oprettelse) af TRU-tokens baseret på en formel, der inkluderer den samlede tokenforsyning, ETH-reserven og det beløb, brugeren ønsker at købe. Mere specifikt:

• Formlen beregner variabler som v9 = 200 * total_supply * amount * reserve og v12 = 100 * amount * amount * reserve.
• Derefter lægges v9 + v12 sammen, og resultatet divideres med en anden variabel (v6).
• Problemet opstår med store værdier af "amount"-parameteren: Summen v9 + v12 overstiger den maksimale værdi for et 256-bit heltal (2^256), hvilket fører til overflow. I Solidity (det smarte kontraktsprog til Ethereum) omslutter dette værdien til et lille tal, hvilket gør tokenprisen praktisk talt nul.

Hackeren udnyttede dette ved at indtaste en stor "amount"-værdi for at udstede et ubegrænset antal TRU-tokens for minimale omkostninger (næsten gratis). Disse tokens blev derefter solgt i likviditetspuljer på Uniswap eller lignende platforme, hvor de blev vekslet til ETH fra protokollens reserver. Processen blev gentaget i et loop: prægning > salg > ETH-dræn. Den primære hacker (adresse: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) udvandt hovedbeløbet, mens en anden tog omkring 250.000 dollars.

Interessant nok udførte hackerne små testangreb over flere måneder (fra $2.000 til $15.000), før de gik efter det store hit.

Truebit-teamet bekræftede hændelsen og rådede brugerne til at undgå at interagere med den sårbare kontrakt. De samarbejder med politiet om en efterforskning, men chancerne for at få pengene tilbage er små, som det ofte er tilfældet med DeFi-hacks. Analytikere fra Lookonchain og Cyvers bemærker, at dette er et typisk eksempel på en sårbarhed i ældre kode: Gamle kontrakter bliver ofte ignoreret, men er stadig et attraktivt mål for hackere.

Implikationer for markedet

Dette hack blev det første alvorlige slag mod DeFi i 2026 og mindede os om sårbarheder selv i "etablerede" projekter. Det samlede tab som følge af hacking af krypto i 2025 oversteg 2 milliarder dollars, og tendensen fortsætter. Investorer rådes til at tjekke kontraktrevisioner og undgå mindre kendte protokoller. Det er usandsynligt, at Truebit kommer sig, men begivenheden kan tilskynde til bedre sikkerhedspraksis i branchen, f.eks. regelmæssige revisioner og overgang til nye kontrakter.