Эксплойт протокола автономных вычислений Truebit стоимостью 26 миллионов долларов произошел из-за недостатка смарт-контракта, который позволил злоумышленнику чеканить токены практически с нулевой стоимостью, что подчеркивает постоянные риски безопасности даже в долгосрочных блокчейн-проектах.
Truebit пострадал от эксплойта стоимостью 26 миллионов долларов, который привел к сбою токена Truebit (TRU) на 99%, сообщил Cointelegraph в пятницу.
Злоумышленник воспользовался лазейкой в логике смарт-контрактов протокола, которая позволила им чеканить «огромное количество токенов, не платя ETH», согласно компании SlowMist, занимающейся безопасностью блокчейн, которая опубликовала посмертный анализ во вторник.
«Из-за отсутствия защиты от переполнения в операции сложения целых чисел контракт на покупку протокола Truebit дал неверный результат при расчете количества ETH, необходимого для чеканки токенов TRU», — заявили в SlowMist.
Затем расчеты цены смарт-контракта были «ошибочно сведены к нулю», что позволило злоумышленнику истощить резервы контракта путем чеканки токенов на сумму 26 миллионов долларов «практически бесплатно», говорится в исследовании.
Поскольку контракт был скомпилирован с помощью Solidity 0.6.10, предыдущая версия не включала встроенные проверки переполнения, из-за чего вычисления, превышающие максимальное значение «uint256», приводили к «тихому переполнению», в результате чего результат «оборачивался вокруг небольшого значения, близкого к нулю».
Эксплойт показывает, что даже наиболее устоявшимся протоколам угрожают хакеры. Truebit был запущен в сети Ethereum почти пять лет назад, в апреле 2021 года.
Безопасность смарт-контрактов привлекла интерес в конце прошлого года, когда исследование Anthropic показало, что коммерчески доступные агенты искусственного интеллекта (ИИ) обнаружили уязвимости для смарт-контрактов на сумму 4,6 миллиона долларов.
Claude Opus 4.5 от Anthropic, Claude Sonnet 4.5 и GPT-5 от OpenAI совместно разработали эксплойты стоимостью 4,6 миллиона долларов при тестировании на смарт-контрактах, согласно исследовательскому документу, опубликованному красной командой ИИ-компании и посвященному обнаружению уязвимостей кода раньше злоумышленников.
Смарт-контракт выявил крупнейший вектор атаки 2025 года
Согласно отчету SlowMist на конец года, уязвимости смарт-контрактов были крупнейшим вектором атак на криптовалютную индустрию в 2025 году: было зафиксировано 56 инцидентов кибербезопасности, а взлом учетных записей занял второе место с 50 инцидентами.
Уязвимости контрактов составили 30,5% всех эксплойтов криптовалюты в 2025 году, в то время как взломанные учетные записи X составили 24%, а утечки закрытых ключей – 8,5%, заняв третье место.
Тем временем другие хакеры переключают стратегии со взлома протоколов на использование слабых звеньев в поведении человека в цепочке.
По данным платформы безопасности блокчейна CertiK, мошенничество с криптовалютой стало второй по величине угрозой 2025 года, что обошлось инвесторам в криптовалюту в общей сложности в 722 миллиона долларов за 248 инцидентов.
Фишинговые атаки на криптовалюту — это схемы социальной инженерии, не требующие взлома кода. Вместо этого злоумышленники делятся мошенническими ссылками, чтобы украсть конфиденциальную информацию жертв, например, закрытые ключи от криптовалютных кошельков.
Тем не менее, инвесторы становятся более мудрыми в отношении этой угрозы, поскольку 722 миллиона долларов на 38% меньше по сравнению с 1 миллиардом долларов, украденным в результате фишинговых атак в 2024 году.
