Truebit Protocolは2026年1月8日に深刻なセキュリティインシデントを経験しました。セキュリティ機関の慢雾による分析レポートによると、この攻撃はPurchaseコントラクトの重要な脆弱性に起因しています。

具体的には、価格計算モジュールに問題がありました。採用されていたSolidity 0.6.10バージョンには組み込みのオーバーフロー保護機能が欠如していたため、コントラクトは整数の加算時にオーバーフローのリスクを抱えていました。攻撃者はこれを突き、極端なミント操作の一連を巧妙に構築しました。異常に大きなミント量を入力することで、コントラクトの価格計算を直接ゼロにまで落とし込みました。

価格がゼロになる脆弱性を突いた後は、アービトラージが非常に容易になりました。攻撃者は「ミント—バーン」のループ操作を繰り返し、各ラウンドでコストなしに利益を得ることができました。このプロセスは継続され、最終的にコントラクトのリザーブプールは完全に枯渇しました。統計によると、今回の攻撃でハッカーは合計約8,535枚のETHを得ました。

この事件は、開発者に対して整数演算を扱う際には特に注意が必要であることを再認識させました。たとえ単純に見える加算操作でも、高バージョンのSolidityが自動チェックを導入する前は、明示的な安全対策が必要です。DeFiプロジェクトにとって、価格計算ロジックは特に重要であり、わずかな計算ミスが大きな経済的損失に発展する可能性があることを示しています。