Truebit漏洞揭示智能合約缺陷,導致2600萬美元代幣被鑄造
最近,離線計算協議Truebit爆出一宗嚴重漏洞,攻擊者利用智能合約的溢出錯誤,幾乎零成本鑄造大量代幣,導致Truebit(TRU)代幣價格暴跌99%,損失高達2600萬美元。這事件再次凸顯即使是運行多年的區塊鏈項目,安全風險依然存在。
據區塊鏈安全公司SlowMist週二發布的事後分析報告,攻擊者利用了Truebit協議智能合約邏輯中的漏洞,能夠在不支付任何以太幣(ETH)的情況下鑄造大量代幣。漏洞源自合約中一個整數加法操作缺乏溢出保護,導致購買合約在計算鑄造TRU代幣所需ETH數量時出現錯誤,價格計算結果被錯誤地降至零。這使得攻擊者能夠以幾乎免費的成本鑄造價值2600萬美元的代幣,從合約中抽走大量資金。
該合約使用的Solidity版本為0.6.10,當時並未內建溢出檢查,導致超出uint256最大值的計算結果發生「靜默溢出」,數值會回繞至接近零的小數值,成為此次漏洞的根源。
智能合約安全風險依然嚴峻
Truebit早於2021年4月在以太坊主網上線,距今已近五年。此次事件顯示,即使是較為成熟的協議也難以完全避免安全威脅。去年底,一項由人工智能公司Anthropic發表的研究指出,市面上可用的AI代理已能自動發現價值460萬美元的智能合約漏洞。Anthropic旗下的Claude Opus 4.5、Claude Sonnet 4.5及OpenAI的GPT-5等AI模型,經過測試後能共同開發出價值460萬美元的合約攻擊手法。
2025年智能合約漏洞成最大攻擊途徑
根據SlowMist的2025年年終報告,智能合約漏洞是加密貨幣行業今年最大的攻擊向量,共發生56起安全事件;其次是帳戶被盜,共50起。智能合約漏洞佔全年加密攻擊事件的30.5%,而被入侵的帳戶佔24%,私鑰洩露佔8.5%。
此外,黑客策略也從直接攻擊協議轉向利用鏈上用戶行為的薄弱環節。加密釣魚詐騙成為2025年第二大威脅,根據區塊鏈安全平台CertiK統計,今年因釣魚詐騙造成的損失累計達7.22億美元,涉及248起事件。釣魚攻擊屬於社交工程手法,無需破解代碼,攻擊者透過欺詐鏈接竊取用戶敏感資訊如私鑰。
值得注意的是,儘管釣魚詐騙仍然嚴重,但2025年的損失比2024年減少了38%,顯示投資者的安全意識有所提升。
—
評論與啟示
Truebit事件再次提醒我們,區塊鏈技術雖然具備去中心化和不可篡改的特性,但智能合約的安全性仍是整個生態系統的核心瓶頸。許多合約仍依賴舊版本的編程語言或缺乏完善的安全檢查,導致溢出、重入攻擊等基礎漏洞頻現。這不僅損害用戶資產安全,也影響整個區塊鏈項目的信譽。
從AI自動發現漏洞的研究來看,未來安全審計將越來越依賴人工智能技術,這既是機遇也是挑戰。AI能加快漏洞發現速度,但同時也可能被惡意利用,形成攻防新賽道。加密行業必須加強智能合約的開發標準,推廣使用帶有自動溢出檢測的編程語言版本,並結合AI輔助審計,才能有效降低安全風險。
此外,攻擊者轉向利用用戶行為弱點的趨勢也值得警惕。即使合約本身安全,釣魚詐騙等社交工程仍能造成巨額損失。加強用戶教育、提升錢包和交易平台的安全防護措施,成為保護投資者不可忽視的環節。
總括而言,區塊鏈安全是一個多層次、多維度的問題,既涉及技術實現,也關乎用戶行為和生態治理。只有從技術、教育、監管等多方面入手,才能真正打造一個安全、可信的加密世界。
以上文章由GPT 所翻譯及撰寫。圖片由Gemini 根據內容自動生成。
