SlowMist объяснила, как взлом Truebit на $26 млн обрушил токен TRU на 99% из-за ошибки в смарт-контракте

Почти пятилетний протокол автономных вычислений Truebit, работающий в сети Ethereum с апреля 2021 года, внезапно оказался в центре громкого инцидента. На прошлой неделе Cointelegraph сообщил о взломе, который оценивают в 26 миллионов долларов. Итог оказался предсказуемо болезненным: токен Truebit (TRU) обвалился примерно на 99% и фактически потерял доверие рынка.

Что именно пошло не так в смарт-контракте

Разбор причин опубликовала блокчейн-компания SlowMist, выпустив посмертный анализ во вторник. По их данным, злоумышленник нашел уязвимость в логике контракта покупки, из-за которой система неверно считала, сколько ETH нужно заплатить за выпуск TRU (фото: ru.freepik.com).

Ключевая причина

• в контракте отсутствовала защита от переполнения при сложении целых чисел;
• из-за этого расчет требуемого количества ETH давал некорректный результат;
• в итоге цена в вычислениях «съезжала» к нулю, и чеканка становилась почти бесплатной.

Почему переполнение стало фатальным

Контракт был скомпилирован на Solidity 0.6.10. В этой версии еще не было встроенных проверок переполнения, поэтому при превышении максимума типа uint256 происходило так называемое «тихое переполнение»: значение «оборачивалось» и превращалось в маленькое число, близкое к нулю. Именно это и позволило атакующему выпускать огромные объемы TRU, практически не тратя ETH, а затем опустошить резервы контракта.

Урок для рынка: под ударом даже «долгожители»

История Truebit наглядно показывает, что возраст проекта сам по себе не является страховкой. Даже протокол, который давно работает в сети, может «упасть» из-за одной недосмотренной детали в коде.

ИИ тоже умеет находить дыры — и это уже доказано

Интерес к безопасности смарт-контрактов усилился в конце прошлого года после исследования, где коммерчески доступные ИИ-агенты выявляли уязвимости на миллионы долларов. В рамках работы red team модели Anthropic Claude Opus 4.5, Claude Sonnet 4.5 и OpenAI GPT-5 совместно подготовили эксплойты на сумму 4,6 млн долларов, протестированные на смарт-контрактах. Цель подхода проста: находить проблемы раньше злоумышленников.

Статистика 2025 года: где бьют чаще всего

По отчету SlowMist за 2025 год, именно уязвимости смарт-контрактов стали главным источником атак на криптоиндустрию.

Распределение угроз (по долям эксплойтов)

1. уязвимости контрактов — 30,5%;
2. взломанные X-аккаунты — 24%;
3. утечки приватных ключей — 8,5%.

Также в отчете упоминается, что за год зафиксировали 56 инцидентов, связанных с контрактными уязвимостями, а компрометация учетных записей заняла второе место с 50 случаями.

Хакеры меняют тактику: ставка на человеческий фактор

Параллельно растет давление со стороны атак, где код взламывать не нужно. По данным CertiK, крипто-фишинг стал второй по величине угрозой 2025 года: 248 инцидентов и суммарный ущерб 722 млн долларов.

Как работает крипто-фишинг

• жертве отправляют мошенническую ссылку;
• человек сам вводит конфиденциальные данные;
• злоумышленники получают доступ к секретным ключам и кошелькам.

При этом есть и небольшой позитивный сигнал: 722 млн долларов — это на 38% меньше, чем 1 млрд долларов, украденный через фишинг в 2024 году. Ярослав Игнатьев