Vuoden 2026 ensimmäinen suuri hakkerointi: Truebit Protocol menettää 26,4 miljoonaa dollaria älysopimusten haavoittuvuuden vuoksi.

Tämä on vuoden 2026 ensimmäinen dokumentoitu merkittävä DeFi-hakkerointi, mikä korostaa Ethereum-ekosysteemin jatkuvia tietoturvariskejä, jopa projekteissa, joilla on pitkä historia. CertiK:n tietojen mukaan epäilyttävät transaktiot havaittiin eilen 8. tammikuuta, ja hakkeri nosti onnistuneesti varoja vanhassa älykkäässä sopimuksessa olevan hyväksikäytön avulla.

Truebit-protokolla on Ethereumissa toimiva laskutoimitusten todentamisalusta, joka käyttää TRU-tokenia verkon osallistujien kannustamiseen. Projekti on ollut olemassa vuodesta 2020, mutta haavoittuvuus oli piilotettu vanhentuneeseen sopimukseen (osoite: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), jota ei tarkastettu tai päivitetty asianmukaisesti. Hyökkäyksen seurauksena TRU-tokenin hinta romahti lähes 100 prosenttia, 0,16 dollarista käytännössä nollaan (0,0000000029 dollaria), mikä tuhosi projektin markkina-arvon ja likviditeetin.

Miten tarkalleen ottaen hakkerointi tapahtui?

Hyödyntäminen perustui ylivuotovirheeseen älykkään sopimuksen getPurchasePrice()-funktiossa. Tämä funktio laskee TRU-tokenien lyönnin (luomisen) hinnan kaavan perusteella, joka sisältää koko token-tarjonnan, ETH-varauksen ja määrän, jonka käyttäjä haluaa ostaa. Tarkemmin sanottuna:

• Kaava laskee muuttujia, kuten v9 = 200 * total_supply * amount * reserve ja v12 = 100 * amount * amount * reserve.
• Sitten lasketaan yhteen v9 + v12, ja tulos jaetaan toisella muuttujalla (v6).
• Ongelma syntyy, kun muuttujan "määrä" arvot ovat suuria: summa v9 + v12 ylittää 256-bittisen kokonaisluvun enimmäisarvon (2^256), mikä johtaa ylivuotoon. Solidityssä (Ethereumin älysopimuskieli) tämä kiertää arvon pieneksi luvuksi, jolloin tokenin hinta on käytännössä nolla.

Hakkeri käytti tätä hyväkseen syöttämällä suuren "amount"-arvon ja loi rajattoman määrän TRU-tokeneita minimaalisin kustannuksin (lähes ilmaiseksi). Nämä tokenit myytiin sitten Uniswapin tai vastaavien alustojen likviditeettipooleissa, joissa ne vaihdettiin ETH:ksi protokollan varannoista. Prosessi toistui silmukassa: lyönti > myynti > ETH:n tyhjennys. Ensisijainen hakkeri (osoite: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) poimi pääosan summasta, kun taas toinen hakkeri vei noin 250 000 dollaria.

Mielenkiintoista on, että hakkerit tekivät pieniä testihyökkäyksiä useiden kuukausien ajan(2 000-15 000 dollaria) ennen kuin he lähtivät isoon iskuun.

Truebitin tiimi vahvisti tapauksen ja kehotti käyttäjiä välttämään vuorovaikutusta haavoittuvan sopimuksen kanssa. He tekevät yhteistyötä lainvalvontaviranomaisten kanssa tutkintaa varten, mutta mahdollisuudet varojen takaisin saamiseen ovat vähäiset, kuten usein DeFi-hakkeroinneissa. Lookonchainin ja Cyversin analyytikot toteavat, että kyseessä on tyypillinen esimerkki vanhan koodin haavoittuvuudesta: vanhat sopimukset jätetään usein huomiotta, mutta ne ovat edelleen houkutteleva kohde hakkereille.

Markkinavaikutukset

Tästä hakkeroinnista tuli ensimmäinen vakava isku DeFi:lle vuonna 2026, ja se muistuttaa meitä haavoittuvuuksista jopa "vakiintuneissa" projekteissa. Kryptoalan hakkerointien aiheuttamat kokonaistappiot vuonna 2025 ylittivät 2 miljardia dollaria, ja suuntaus jatkuu. Sijoittajia kehotetaan tarkistamaan sopimustarkastukset ja välttämään vähemmän tunnettuja protokollia. Truebit tuskin toipuu, mutta tapahtuma voi kannustaa alan parempiin turvallisuuskäytäntöihin, kuten säännöllisiin tarkastuksiin ja uusiin sopimuksiin siirtymiseen.