Truebit Protocol vào ngày 8 tháng 1 năm 2026 đã trải qua một sự cố an ninh nghiêm trọng. Theo báo cáo phân tích của tổ chức an ninh SlowMist, cuộc tấn công này bắt nguồn từ một lỗ hổng quan trọng trong hợp đồng Purchase.

Cụ thể, vấn đề nằm ở mô-đun tính toán giá cả. Do sử dụng phiên bản Solidity 0.6.10 thiếu cơ chế bảo vệ tràn tích hợp sẵn, hợp đồng gặp rủi ro tràn số khi thực hiện phép cộng số nguyên. Kẻ tấn công đã tận dụng điểm này, xây dựng một loạt các thao tác đúc tiền cực đoan. Bằng cách nhập số lượng đúc tiền bất thường lớn, họ khiến cho phép tính giá của hợp đồng giảm xuống còn zero.

Với lỗ hổng giá trị bằng zero, các hoạt động arbitrage sau đó trở nên dễ dàng hơn bao giờ hết. Kẻ tấn công lặp đi lặp lại chu trình "đúc—đốt" mỗi vòng đều có thể thu lợi mà không mất phí. Quá trình này tiếp tục kéo dài, cuối cùng làm cạn kiệt hoàn toàn kho dự trữ của hợp đồng. Theo thống kê, trong cuộc tấn công này, hacker đã thu lợi tổng cộng khoảng 8.535 ETH.

Sự kiện này một lần nữa nhắc nhở các nhà phát triển phải cực kỳ cẩn trọng khi xử lý các phép tính số nguyên. Ngay cả phép cộng tưởng chừng đơn giản cũng cần có các biện pháp bảo vệ rõ ràng trước khi Solidity phiên bản cao hơn tự động kiểm tra. Đối với các dự án DeFi, logic tính toán giá cả còn đặc biệt quan trọng — một sai sót nhỏ trong tính toán có thể dẫn đến thiệt hại kinh tế lớn.