Протокол оффлайн-вычислений Truebit (TRU) стал жертвой масштабной атаки, в результате которой злоумышленник смог эмитировать токены на сумму $26 млн, воспользовавшись ошибкой переполнения (overflow) в смарт-контракте. Стоимость нативного токена TRU после инцидента рухнула на 99%, сообщает Cointelegraph.
Техническая причина взлома, согласно постмортему компании SlowMist, заключалась в отсутствии защиты от переполнения в операции сложения целых чисел в контракте Purchase протокола Truebit. Из-за этого расчёт суммы ETH, необходимой для чеканки токенов TRU, давал неверный результат. Контракт был скомпилирован с использованием устаревшей версии Solidity 0.6.10, в которой не было встроенных проверок на переполнение. В результате, когда значение превышало максимум для типа данных uint256, происходило «тихое переполнение», и итоговая стоимость чеканки ошибочно снижалась практически до нуля. Это позволило атакующему сгенерировать огромное количество токенов «почти бесплатно» и опустошить резервы контракта.
Контекст и последствия. Truebit был запущен в основной сети Ethereum почти пять лет назад, в апреле 2021 года. Этот случай демонстрирует, что даже давно работающие проекты уязвимы для хакеров из-за устаревшего кода и технического долга. Инцидент произошёл на фоне растущего внимания к безопасности смарт-контрактов. Исследование компании Anthropic, опубликованное в конце прошлого года, показало, что коммерчески доступные ИИ-агенты (Claude Opus 4.5, Claude Sonnet 4.5 и GPT-5 от OpenAI) в ходе тестов смогли обнаружить уязвимости в смарт-контрактах на сумму $4,6 млн.
Статистика угроз. По данным годового отчета SlowMist, уязвимости смарт-контрактов стали основным вектором атак в криптоиндустрии в 2025 году, на них пришлось 56 инцидентов (30,5% от общего числа). На втором месте оказались фишинговые атаки, которые, по данным CertiK, принесли злоумышленникам $722 млн в результате 248 инцидентов, что, впрочем, на 38% меньше, чем в 2024 году ($1 млрд).
