Truebit 被攻破:2600 万美元 ETH 被抽走,攻击者通过 Tornado Cash 清洗资金
Truebit 于 1 月 8 日发生重大漏洞,攻击者利用遗留智能合约的整数溢出漏洞以接近零成本铸造数百万 TRU 并抛售至流动性池,抽走 8,535 ETH(约 2,600–2,640 万美元)。安全公司(Cyvers、PeckShield)发现链上异常:攻击者几乎免费铸造 TRU,使用 builder bribes 抢先交易并阻止紧急暂停,反复在去中心化交易所抛售,导致 TRU 崩跌超 99.9% 并造成市场极度缺乏流动性。链上追踪显示攻击者通过 Tornado Cash 洗净被盗 ETH。调查人员将同一钱包与 12 天前的 Sparkle Protocol 攻击关联,表明攻击者可能技术成熟。Truebit 已提醒用户避免互动受影响的遗留合约(0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2),并已联系执法机构、启动协议审查。本事件突显遗留合约漏洞的持续风险以及资产经混币器转移后难以追回的现实。交易者应注意链上监控加强、DeFi 遗留合约审计增加,以及 TRU 继续面临流动性匮乏和价格压力的可能性。
看跌
该事件直接打击了 TRU 的代币经济和流动性。攻击者以接近零成本铸造大量 TRU 并抛售至去中心化交易所,造成价格暴跌(>99.9%)并导致严重流动性枯竭——短期内 TRU 价格必然承受负面压力。短期内可预期持续抛售、点差扩大或 DEX 市场失常,以及买盘明显不足,直到审计和切实的修复措施到位。中长期恢复将取决于治理措施、代币回购/销毁方案或成功追回资金;若缺乏可信的恢复方案,投资者信心将受损,TRU 可能长期低迷或被流动性市场剔除。对更广泛的 DeFi 市场影响有限,主要引发对小市值代币的短暂谨慎抛售,因为此次利用的是 TRU 的遗留合约而非底层 L1 基础设施。对交易者的建议:在流动性和协议修复明朗之前避免做多 TRU;持续监控链上资金流向、Tornado Cash 的出入动向,以及任何可能改变追回前景的执法或治理更新。