奔跑财经1月12日消息,基于以太坊的验证协议Truebit因黑客盗取2600万美元协议储备资金而陷入困境。

攻击者利用了协议代码中的漏洞,于伦敦时间周四下午4点左右诱使协议释放8,535枚以太坊代币。此后不久,该协议再遭攻击,网络犯罪分子窃取了价值近30万美元的TRU代币。

Truebit随后在X平台发文确认遭遇攻击,表示"已与执法部门联系,并采取一切可用措施应对当前状况"。据DefiLlama数据,2025年网络犯罪分子通过攻击加密项目已窃取超25亿美元。

Truebit事件凸显了黑客日益瞄准老旧DeFi协议智能合约的趋势。去年11月,黑客从DeFi流动性协议Balancer盗取1.28亿美元,被利用的智能合约自2021年即在以太坊运行且经过多次审计。

近几个月其他遭遇攻击的老旧DeFi协议还包括2020年推出的Yearn Finance v1金库和Rari Capital,以及2021年推出的Ribbon Finance。这些协议的智能合约编写时,开发者对当前已广为人知的代码关键漏洞认知有限。

许多老旧DeFi协议虽不再积极维护,但仍持有大量加密货币,因此成为黑客的主要目标。部分DeFi开发者认为该趋势可归因于黑客利用人工智能寻找并攻击协议。

Truebit漏洞源于安全专家熟知的"整数溢出"攻击向量,本质上是数学运算问题。当智能合约需要执行计算时,代码错误可能导致其生成超过存储上限的数值,致使数值异常折返为极小值或负值,攻击者可借此绕过安全检查、操纵余额并窃取资金。

整数溢出攻击并非新现象,多年来已有多家DeFi协议因此受害。该问题的普遍性促使当前新智能合约的开发和审计过程都会严格检查整数溢出及类似数学漏洞。但此类漏洞仍时有发生:去年7月,Sui区块链上的去中心化交易所Cetus就因整数溢出漏洞被攻击,黑客借此诱使协议误判其资金余额,最终导致价值约2.2亿美元的加密货币被盗。