Truebit Protocol 8 січня 2026 року зазнав серйозної інциденту безпеки. За аналізом від безпекової компанії SlowMist, ця атака була викликана критичною уразливістю у контракті Purchase.

Конкретно, проблема полягала у модулі обчислення ціни. Оскільки використовувалась версія Solidity 0.6.10, яка не має вбудованого механізму захисту від переповнення, контракт був вразливий до переповнення при виконанні цілочисельних додавань. Атака здійснювалася шляхом ретельного створення серії екстремальних операцій з емісії токенів. Вводячи надзвичайно великі кількості емісії, зловмисник змусив обчислення ціни контракту безпосередньо опуститися до нуля.

З уразливістю нульової ціни, подальший арбітраж став дуже простим. Атакуючий повторював цикл "емісія — знищення", отримуючи безкоштовний прибуток у кожному раунді. Цей процес тривав, доки не було повністю виснажено резервний пул контракту. За статистикою, загальний прибуток хакера склав приблизно 8,535 ETH.

Ця подія знову нагадує розробникам, що при обробці цілочисельних операцій потрібно бути особливо обережним. Навіть прості додавання, які здаються безпечними, перед автоматичними перевірками у нових версіях Solidity вимагають явного захисту. Для DeFi-проектів логіка обчислення ціни є особливо важливою — навіть найменша помилка може призвести до значних економічних втрат.