Truebit遭2600萬(wàn)美元攻擊，黑客日益瞄準(zhǔn)老舊DeFi協(xié)議

奔跑財(cái)經(jīng)1月12日消息，基于以太坊的驗(yàn)證協(xié)議Truebit因黑客盜取2600萬(wàn)美元協(xié)議儲(chǔ)備資金而陷入困境。

攻擊者利用了協(xié)議代碼中的漏洞，于倫敦時(shí)間周四下午4點(diǎn)左右誘使協(xié)議釋放8,535枚以太坊代幣。此后不久，該協(xié)議再遭攻擊，網(wǎng)絡(luò)犯罪分子竊取了價(jià)值近30萬(wàn)美元的TRU代幣。

Truebit隨后在X平臺(tái)發(fā)文確認(rèn)遭遇攻擊，表示"已與執(zhí)法部門聯(lián)系，并采取一切可用措施應(yīng)對(duì)當(dāng)前狀況"。據(jù)DefiLlama數(shù)據(jù)，2025年網(wǎng)絡(luò)犯罪分子通過攻擊加密項(xiàng)目已竊取超25億美元。

Truebit事件凸顯了黑客日益瞄準(zhǔn)老舊DeFi協(xié)議智能合約的趨勢(shì)。去年11月，黑客從DeFi流動(dòng)性協(xié)議Balancer盜取1.28億美元，被利用的智能合約自2021年即在以太坊運(yùn)行且經(jīng)過多次審計(jì)。

近幾個(gè)月其他遭遇攻擊的老舊DeFi協(xié)議還包括2020年推出的Yearn Finance v1金庫(kù)和Rari Capital，以及2021年推出的Ribbon Finance。這些協(xié)議的智能合約編寫時(shí)，開發(fā)者對(duì)當(dāng)前已廣為人知的代碼關(guān)鍵漏洞認(rèn)知有限。

許多老舊DeFi協(xié)議雖不再積極維護(hù)，但仍持有大量加密貨幣，因此成為黑客的主要目標(biāo)。部分DeFi開發(fā)者認(rèn)為該趨勢(shì)可歸因于黑客利用人工智能尋找并攻擊協(xié)議。

Truebit漏洞源于安全專家熟知的"整數(shù)溢出"攻擊向量，本質(zhì)上是數(shù)學(xué)運(yùn)算問題。當(dāng)智能合約需要執(zhí)行計(jì)算時(shí)，代碼錯(cuò)誤可能導(dǎo)致其生成超過存儲(chǔ)上限的數(shù)值，致使數(shù)值異常折返為極小值或負(fù)值，攻擊者可借此繞過安全檢查、操縱余額并竊取資金。

整數(shù)溢出攻擊并非新現(xiàn)象，多年來已有多家DeFi協(xié)議因此受害。該問題的普遍性促使當(dāng)前新智能合約的開發(fā)和審計(jì)過程都會(huì)嚴(yán)格檢查整數(shù)溢出及類似數(shù)學(xué)漏洞。但此類漏洞仍時(shí)有發(fā)生：去年7月，Sui區(qū)塊鏈上的去中心化交易所Cetus就因整數(shù)溢出漏洞被攻擊，黑客借此誘使協(xié)議誤判其資金余額，最終導(dǎo)致價(jià)值約2.2億美元的加密貨幣被盜。