O Protocolo Truebit sofreu um incidente de segurança grave em 8 de janeiro de 2026. De acordo com o relatório de análise da agência de segurança SlowMist, este ataque teve origem numa vulnerabilidade crítica no contrato Purchase.

Mais especificamente, o problema estava no módulo de cálculo de preços. Como a versão Solidity 0.6.10 utilizada não possui um mecanismo interno de proteção contra estouro, o contrato apresentava risco de overflow ao realizar operações de adição de inteiros. O atacante aproveitou-se exatamente disso, construindo cuidadosamente uma série de operações extremas de cunhagem. Ao inserir uma quantidade anormalmente grande de cunhagem, eles fizeram com que o cálculo de preços do contrato caísse diretamente a zero.

Com a vulnerabilidade de preço zero, as operações de arbitragem subsequentes tornaram-se extremamente fáceis. O atacante executou repetidamente um ciclo de "cunhar—queimar", obtendo lucros sem custo a cada rodada. Esse processo continuou até que o pool de reservas do contrato fosse completamente esgotado. Segundo estatísticas, o hacker lucrou aproximadamente 8.535 ETH nesta ataque.

Este incidente reforça mais uma vez a importância de os desenvolvedores serem extremamente cautelosos ao lidar com operações de inteiros. Mesmo operações aparentemente simples de adição, antes da introdução de verificações automáticas em versões superiores do Solidity, exigem proteções de segurança explícitas. Para projetos DeFi, a lógica de cálculo de preços é ainda mais crítica — um erro de cálculo sutil pode evoluir para perdas econômicas significativas.