Truebit 遭遇 2600 萬美元攻擊，駭客目標鎖定較舊的 DeFi 協議

Truebit 是一個基於以太坊的驗證協議，近日因一名駭客從協議的儲備金中竊取 2600 萬美元而震驚不已。 駭客針對協議程式碼中的漏洞發動攻擊，於週四倫敦時間下午 4 點左右，誘騙協議送出 8,535 個以太幣。不久之後，協議再次遭到利用，一名網絡罪犯竊取了價值近 30 萬美元的協議 TRU 代幣。 受影響的智能合約於 2021 年部署，目前沒有公開記錄顯示其曾接受第三方審計。 Truebit 隨後在 X 上發表貼文承認了此次攻擊。 「我們正在與執法部門聯繫，並採取一切可用措施來應對當前情況，」該協議表示。 說道這起事件發生在2025年網絡罪犯針對加密貨幣項目進行襲擊，竊取了25億美元之後，DefiLlama數據顯示 顯示對較舊協議的攻擊 Truebit 攻擊也凸顯了一個日益增長的趨勢，即駭客針對較舊的 DeFi 協議中的智能合約進行攻擊。Weilin Li 是一名 DeFi 安全研究員，也是倫敦大學學院的博士生， 說道 在一篇討論漏洞利用的X貼文中。 11月，一名黑客 偷了 來自去中心化金融（DeFi）流動性協議Balancer的1.28億美元。被利用的智能合約自2021年以來一直在以太坊上運行，並經過多次審計。 最近幾個月遭受攻擊的其他較老DeFi協議包括Yearn Finance的v1錢庫和Rari Capital，這兩者都是在2020年推出的，以及2021年推出的Ribbon Finance。 這些協議的智能合約編寫時，較少開發者了解如今更廣為人知的關鍵代碼漏洞。 許多較老的DeFi協議不再積極維護，但仍持有大量加密資產，使其成為駭客的主要目標。 一些DeFi開發者 說 這種趨勢可以歸因於駭客使用人工智慧來尋找並利用協議。 數學問題 The Truebit exploit was the 結果 一種被安全專家稱為整數溢位的攻擊向量——換句話說，這是一個數學問題。 當智能合約需要進行計算時，程式碼錯誤可能導致產生一個比其能儲存的最大限制還大的數字。這會導致數值意外地跳轉到一個非常小或負數，進而讓攻擊者可以利用這個漏洞來繞過安全檢查、操控餘額，並竊取資金。 整數溢位的攻擊並非新現象。 多年來，多個去中心化金融（DeFi）協議都曾因此受害。這個問題的普遍性意味著現在開發和審計新智能合約的人會嚴格檢查整數溢位和類似的數學問題。 然而，有時這樣的漏洞還是會被忽略。 7月，位於Sui區塊鏈上的去中心化交易所Cetus， 成為受害者 導致整數溢位漏洞的攻擊。這個漏洞讓駭客可以欺騙協議，使其認為他們的資金比實際更多，最終導致價值約2.2億美元的加密貨幣被盜。 Tim Craig 是 DL News 位於愛丁堡的 DeFi 專欄作家。有線索可透過以下方式聯繫 tim@dlnews.com。