Truebit Protocol experimentó un grave incidente de seguridad el 8 de enero de 2026. Según el informe de análisis del organismo de seguridad SlowMist, este ataque se originó en una vulnerabilidad crítica en el contrato Purchase.

Específicamente, el problema residía en el módulo de cálculo de precios. Debido a que la versión de Solidity utilizada, 0.6.10, carecía de mecanismos integrados de protección contra desbordamientos, el contrato presentaba riesgos de desbordamiento en las operaciones de suma de enteros. Los atacantes aprovecharon precisamente esto, construyendo cuidadosamente una serie de operaciones de acuñación extremas. Al ingresar cantidades de acuñación excepcionalmente grandes, lograron que el cálculo del precio del contrato cayera directamente a cero.

Con la vulnerabilidad del precio en cero, las operaciones de arbitraje posteriores se volvieron muy fáciles. Los atacantes ejecutaron repetidamente ciclos de "acuñar—quemar", obteniendo beneficios sin costo en cada ciclo. Este proceso continuó hasta agotar por completo el fondo de reserva del contrato. Según las estadísticas, en este ataque los hackers obtuvieron un beneficio total de aproximadamente 8,535 ETH.

Este incidente vuelve a recordar a los desarrolladores que deben ser extremadamente cautelosos al manejar operaciones de enteros. Incluso las operaciones de suma aparentemente simples requieren protección explícita antes de que las versiones más recientes de Solidity introdujeran verificaciones automáticas. Para los proyectos DeFi, la lógica de cálculo de precios es aún más crítica: un error de cálculo menor puede derivar en pérdidas económicas enormes.