Truebit Protocol mengalami insiden keamanan serius pada 8 Januari 2026. Menurut laporan analisis dari lembaga keamanan SlowMist, serangan ini berasal dari celah kritis dalam kontrak Purchase.

Secara spesifik, masalah terletak pada modul perhitungan harga. Karena menggunakan versi Solidity 0.6.10 yang tidak memiliki mekanisme perlindungan overflow bawaan, kontrak berisiko mengalami overflow saat melakukan operasi penjumlahan bilangan bulat. Penyerang memanfaatkan celah ini dengan merancang serangkaian operasi pencetakan koin ekstrem. Dengan memasukkan jumlah pencetakan yang sangat besar, mereka membuat perhitungan harga kontrak langsung turun ke nol.

Dengan adanya celah harga nol, arbitrase selanjutnya menjadi sangat mudah. Penyerang melakukan loop "pencetakan—pembakaran" berulang kali, setiap putaran dapat menghasilkan keuntungan tanpa biaya. Proses ini terus berlangsung, akhirnya menguras habis cadangan kontrak. Berdasarkan statistik, total keuntungan yang diperoleh hacker dari serangan ini sekitar 8.535 ETH.

Insiden ini kembali mengingatkan pengembang untuk sangat berhati-hati dalam menangani operasi bilangan bulat. Bahkan operasi penjumlahan yang tampaknya sederhana pun, sebelum Solidity versi tinggi memperkenalkan pemeriksaan otomatis, harus dilindungi secara eksplisit dari risiko keamanan. Bagi proyek DeFi, logika perhitungan harga adalah prioritas utama—kesalahan kecil dalam perhitungan bisa berkembang menjadi kerugian ekonomi yang besar.