Første store hack av 2026: Truebit-protokollen mister 26.4 millioner dollar på grunn av sårbarhet i smart kontrakt

Dette er det første dokumenterte store DeFi-hacket i 2026, og fremhever pågående sikkerhetsrisikoer i Ethereum-økosystemet, selv for prosjekter med lang historie. Ifølge Certik-data ble mistenkelige transaksjoner oppdaget i går, 8. januar, og hackeren tok vellykket ut midler gjennom en utnyttelse i en gammel smart kontrakt.

Truebit Protocol er en plattform for å verifisere beregninger på Ethereum, som bruker TRU-tokenet for å stimulere nettverksdeltakere. Prosjektet har eksistert siden 2020, men sårbarheten var skjult i en utdatert kontrakt (adresse: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), som ikke gjennomgikk ordentlig revisjon eller oppdateringer. Som et resultat av angrepet falt prisen på TRU-tokenet med nesten 100%, fra 0,16 dollar til praktisk talt null (0,0000000029 dollar), noe som utslettet prosjektets markedsverdi og likviditet.

Hvordan skjedde hackingen nøyaktig?

Utnyttelsen var basert på en overløpsfeil i getPurchasePrice()-funksjonen til smartkontrakten. Denne funksjonen beregner prisen for å lage TRU-tokens basert på en formel som inkluderer den totale tokenforsyningen, ETH-reserven og beløpet brukeren ønsker å kjøpe. Mer spesifikt:

• Formelen beregner variabler som v9 = 200 * total_tilførsel * beløp * reserve og v12 = 100 * beløp * beløp * reserve.
• Deretter legges v9 + v12 sammen, og resultatet divideres med en annen variabel (v6).
• Problemet oppstår med store verdier av "amount"-parameteren: Summen v9 + v12 overskrider maksimumsverdien for et 256-biters heltall (2^256), noe som fører til overløp. I Solidity (smartkontraktspråket for Ethereum) omslutter dette verdien til et lite tall, noe som gjør tokenprisen praktisk talt null.

Hackeren utnyttet dette ved å legge inn en stor "amount"-verdi for å utstede et ubegrenset antall TRU-tokens til en minimal kostnad (nesten gratis). Disse tokens ble deretter solgt i likviditetsbassenger på Uniswap eller lignende plattformer, der de ble byttet mot ETH fra protokollens reserver. Prosessen ble gjentatt i en sløyfe: preging > salg > ETH-drenering. Den primære hackeren (adresse: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) hentet ut hovedbeløpet, mens en annen tok rundt 250 000 dollar.

Interessant nok gjennomførte hackerne små testangrep over flere måneder(fra $ 2000 til $ 15 000) før de gikk for den store hit.

Truebit-teamet bekreftet hendelsen og rådet brukere til å unngå å samhandle med den sårbare kontrakten. De samarbeider med rettshåndhevelse for en etterforskning, men sjansene for å gjenopprette midlene er lave, som ofte er tilfelle i DeFi-hacks. Analytikere fra Lookonchain og Cyvers bemerker at dette er et typisk eksempel på en sårbarhet i eldre kode: gamle kontrakter blir ofte ignorert, men er fortsatt et attraktivt mål for hackere.

Markedsimplikasjoner

Dette hacket ble det første alvorlige slaget mot DeFi i 2026, og minnet oss om sårbarheter selv i "etablerte" prosjekter. De totale tapene fra hacking i kryptomarkedet i 2025 oversteg 2 milliarder dollar, og trenden fortsetter. Investorer rådes til å sjekke kontraktsrevisjoner og unngå mindre kjente protokoller. Truebit vil neppe komme seg, men hendelsen kan oppmuntre til bedre sikkerhetspraksis i bransjen, for eksempel regelmessige revisjoner og migrering til nye kontrakter.