Интересно $26 млн за бесценок. Хакер нашел уязвимость в пятилетнем контракте Truebit и стал миллионером.

Admin

Admin

Администратор

$26 млн за бесценок. Хакер нашел уязвимость в пятилетнем контракте Truebit и стал миллионером.


1768246433932

Атакующий нашел способ чеканить TRU почти бесплатно и обменял это на тысячи ETH.


В начале января 2026 года злоумышленник нашёл слабое место в контракте покупки и минта TRU биржи Truebit и превратил токены в печатный станок почти бесплатных монет. Дальше эти TRU хакер продал обратно в пул с кривыми привязками (Bonding Curves), вытащив, по оценке, около 26 млн долларов.

По описанию инцидента, атака уперлась в старый смарт-контракт, которому примерно 5 лет и который в экосистеме Truebit так и не заменили, хотя внутри оставались значимые резервы в ETH. Контракт при этом был закрытым: исходники не публиковались, из-за чего со стороны нельзя было нормально оценить его логику и риски, а сейчас сложно точно восстановить первопричину бага.

Ключевой проблемой стала математика ценообразования TRU. В определённом состоянии контракт начинал считать цену токена почти нулевой. Нападающий отправлял огромные запросы на минт с тщательно подобранным msg.value, и на этапе расчёта цены получал некорректное значение, фактически позволяющее чеканить TRU за копейки. В описании упоминается цепочка вызовов через getPurchasePrice, где дальше вызывается ещё одна функция с низким msg.value, и именно там, вероятно, и прячется уязвимость. Но из-за закрытого кода точный механизм остаётся неочевидным.

Получив источник почти бесплатных TRU, атакующий начал выкачивать из контракта реальную стоимость. Он делал серию крупных минтов, каждый раз подбирая msg.value так, чтобы контракт продолжал оставаться в нужном «сломленном» состоянии и дальше возвращал неверные значения. Когда TRU накопилось достаточно, их можно было сжечь и забрать ETH из смарт-контракта. Общий ущерб оценивается примерно в 8 535 ETH, что в пересчёте на деньги и даёт около 26 млн долларов.

Отдельно отмечается приём, который давно стал стандартом в гонке за выгодой в DeFi. Атакующий заплатил небольшую сумму за приоритет включения транзакций в блок и защиту от вмешательства и фронтраннинга. Это помогло провести серию операций последовательно, не дав сторонним наблюдателям или самой команде TRU вклиниться и сбить атаку.

Инцидент снова напомнил базовую вещь – смарт-контракты нужно регулярно пересматривать, проводить аудит и следить за аномалиями в ончейне, особенно если речь про контуры минта, выкупа и пулы ликвидности.
 
Для ответа нужно войти/зарегистрироваться
Похожие темы
Admin Интересно Международная операция против криптомошенников заморозила $12 млн и выявила 20 000 жертв. Новости в сети 0
Admin Интересно Хакер заработал $53 млн на одной опечатке и удивил ФБР своими тратами. Новости в сети 0
Admin Интересно Meta обязана выплатить $375 млн за эксплуатацию детей — присяжные признали платформу небезопасной. Новости в сети 0
Admin Интересно Штраф до 1,5 млн и срок до пяти лет. Что ждет майнеров криптовалюты, которые не зарегистрируются в реестре. Новости в сети 0
Admin Интересно Африку лишают статуса колыбели человечества: 7 млн лет назад по Европе уже вовсю ходили пешком. Новости в сети 0
Admin Интересно Министерство юстиции США конфисковало $61 млн в Tether, связанных с криптоаферами. Новости в сети 0
Support81 Одна подписка – минус $55 млн: правоохранители нашли новый способ борьбы с пиратством Новости в сети 0
Support81 Яхта, 11 машин, элитный алкоголь — а деньги от рабов: Изьяты 150 млн у камбоджийского «Принца» Чэнь Чжи Новости в сети 0
Support81 Хакеры захватили 8,7 млн WordPress-сайтов за два дня — атакуют через критические уязвимости в популярных плагинах Новости в сети 0
Support81 Москвич отдал рекордные 450 млн рублей кибермошенникам Новости в сети 1
Support81 Хакеры похитили 4 млн грн со счетов украинских предприятий Новости в сети 0
Support81 Илон Маск запускает вычислительного монстра: 50 млн GPU против всего мира ИИ Новости в сети 0
Support81 56 человек и 1,2 млн сим-карт. Минцифры наткнулось на армию теневых абонентов Новости в сети 0
Support81 Британскому хакеру IntelBroker предъявлены обвинения в киберпреступлениях на сумму 25 млн долларов Новости в сети 0
Support81 Cetus Protocol обокрали на $223 млн, и теперь они умоляют хакера отдать хотя бы часть — за амнистию и чай Новости в сети 0
Support81 Биржа "без правил" отработала своё: €34 млн конфискации и 8 ТБ компромата Новости в сети 0
Support81 Март стал чёрным месяцем для Coinbase: похищено 46 млн долларов Новости в сети 0
Support81 $21 млн в крипте: как офицеры КСИР прикрылись «борьбой с мошенничеством» Новости в сети 0
Support81 Романтика поддельная, деньги настоящие: четыре преступные группы обманули одиноких россиян на 9,8 млн Новости в сети 0
Support81 Романтические аферы в цифрах: $700 млн потерь и катастрофически низкая раскрываемость Новости в сети 0
Support81 23 млн жертв, 1 723 пирамиды: цифровые аферы набирают силу Новости в сети 0
Support81 $16 млн и 1000 жертв: как хакеры Phobos попались в ловушку спецслужб Новости в сети 0
Support81 США ищут шанхайского киберпреступника: награда $10 млн Новости в сети 0
turbion0 В Москве мошенники похитили у пенсионерки 146 млн рублей Новости в сети 1
Support81 $50 млн за вечер: Telegram стал ключом к Radiant Capital Новости в сети 0
turbion0 В Барнауле мошенница продала поддельную красную икру почти на 1,5 млн рублей Новости в сети 0
Support81 DMM Bitcoin закрывается: $308 млн похищено, клиенты спасены SBI VC Новости в сети 0
Support81 За него ФБР даёт $10 млн: калининградский суд рассмотрит дело Михаила Матвеева Новости в сети 1
Support81 Цукерберг в осаде: мошенники захватили 21 млн пользователей BlueSky Новости в сети 0
Support81 Шпионаж на $31 млн: WhatsApp раскрыл тайны глобальной слежки Израиля Новости в сети 0
Support81 Подделка на $235 млн: один Telegram-аккаунт обрушил криптобиржу WazirX Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 «Томатная» улица стала чёрной дырой для $6 млн налогов Канады Новости в сети 0
Support81 $37 млн в 21 год: взлет и падение юного криптогения из США Новости в сети 0
Support81 Insider Trading: британский хакер обманул Уолл-стрит на $3,75 млн Новости в сети 0
Support81 Урок не выучен: Onyx теряет $3,8 млн из-за старой уязвимости Новости в сети 0
Support81 MoneyGram: хакеры заморозили сбережения 150 млн человек Новости в сети 0
Support81 BingX: как потерять более $44 млн за один день Новости в сети 0
Support81 Цифровой след в $230 млн: как крипто-гении проиграли ФБР Новости в сети 0
Support81 Ключ к $6 млн: админ стал причиной многомиллионной кражи с Delta Prime Новости в сети 0
Support81 Биржа Indodax лишилась $22 млн за одно утро Новости в сети 0
Support81 В Москве хакера приговорили к 6 годам за кражу из банков свыше 168 млн рублей Новости в сети 3
Support81 Арестован ключевой фигурант дела о краже $100 млн у Horizon Bridge Новости в сети 0
Support81 Шантаж и обвинения: белые хакеры борются с Kraken за $3 млн Новости в сети 0
Support81 Арестованы подозреваемые в краже $14,4 млн у Holograph Новости в сети 0
Support81 CryptoCore: за кулисами аферы на $5,4 млн Новости в сети 0
Ad.world База данных Лукойл. Более 12 млн. записей. 2022 г. Раздачи и сливы 1
Support81 $75 млн: рекордная выплата пополнила карман вымогателей из Dark Angels Новости в сети 0
turbion0 Мошенники выдали себя за службу поддержки Coinbase и украли $1,7 млн Новости в сети 0
Support81 Беспринципный исследователь «обнёс» криптобиржу Kraken на $3 млн Новости в сети 0

Название темы