Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 257Smart-Contract-Bug

Truebit Integer-Overflow

Truebit verlor 26,4 Mio. $: Ein Integer-Overflow in TRUs 5 Jahre alter Bonding Curve ließ Angreifer TRU fast gratis prägen und für 8.500 ETH verkaufen.

Datum
Opfer
Truebit
Chain(s)
Ethereum
Status
Mittel entwendet

Am 8. Januar 2026 erlitt das Blockchain-Verifikationsprotokoll Truebit den ersten großen Krypto-Hack 2026 — rund 26,4 Millionen Dollar (8.500 ETH) aus einem fünf Jahre alten, Closed-Source-Smart-Contract durch einen Integer-Overflow im Bonding-Curve-Pricing des TRU-Tokens entzogen. Der TRU-Token kollabierte innerhalb von 24 Stunden um 100 %.

Was geschah

Truebit hatte seinen Tokenomics-Vertrag rund fünf Jahre vor dem Exploit deployt, in einer Ära, in der Solidity-Integer-Overflow-Schutz manuell implementiert werden musste (Solidity 0.8.0+ würde später Overflow-Checks standardmäßig automatisch machen). Der Vertrag war Closed-Source, was bedeutet, dass sein Bytecode On-Chain war, aber seine Solidity-Quelle nicht öffentlich auf Etherscan oder ähnlichen Tools überprüfbar war — eine Sicherheitslage, die den Bug vor Jahren öffentlicher Prüfung verbarg.

Die Schwachstelle war in der Bonding-Curve-Preisfunktion für den TRU-Token. Bonding Curves bepreisen Tokens als Funktion des aktuellen Supplies: Je mehr TRU im Umlauf ist, desto teurer ist neues TRU zu minten (oder zu kaufen). Die Bonding Curve enthielt eine mathematische Operation, die unter spezifischen Eingabebedingungen eine Integer-Variable überlief — die berechnete Preis wickelte sich auf einen Wert nahe null ab.

Der Angriff:

  1. Identifizierte den Overflow-Trigger durch Analyse des Verhaltens des Closed-Source-Vertrags.
  2. Rief die Mint-Funktion mit Inputs auf, die den Overflow auslösten — der Vertrag berechnete die Kosten neuer TRU als nahezu null und mintete die angeforderte TRU an den Angreifer.
  3. Verkaufte die frisch geminten TRU zurück an den Bonding-Curve-Pool — erhielt im Gegenzug die Reservevermögenswerte des Pools (ETH).
  4. Nettoergebnis: TRU effektiv gratis geprägt; rund 8.500 ETH (~26,4 Mio. $) im Gegenzug erhalten.

Nachwirkungen

  • TRU-Token-Preis kollabierte innerhalb von 24 Stunden um 100 %, als der Markt sowohl die Verwässerung als auch die kaputten Protokoll-Ökonomien einpreiste.
  • Truebit war seit Jahren nicht aktiv weiterentwickelt worden; die Reaktion des Teams war minimal.
  • Die Closed-Source-Natur des Vertrags wurde weithin kritisiert, den Bug vor der breiteren Community potentieller Reviewer verborgen zu haben.
  • Gestohlene Mittel wurden durch Standardkanäle gewaschen.

Warum es zählt

Der Truebit-Vorfall ist eine eindrucksvolle Fallstudie dafür, was passiert, wenn ein deployter Smart Contract die aktive Wartung seines Teams überlebt. Fünf Jahre sind eine lange Zeit in DeFi. Die Solidity-Sprache, Audit-Praktiken und Checklisten bekannter Schwachstellen entwickelten sich zwischen 2021 und 2026 dramatisch. Der Truebit-Vertrag, der 2021 vernünftiges Engineering war — mit manuellem Overflow-Schutz —, wurde zunehmend anfällig, als das breitere Ökosystemverständnis von Edge Cases sich verbesserte, während der Vertrag selbst eingefroren blieb.

Die strukturellen Lehren:

  1. Closed-Source Smart Contracts sind eine langfristige Sicherheitsbelastung. Das Argument „Obscurity reduziert Angriffsfläche" ist empirisch falsch auf den Zeitskalen großer DeFi-Verträge — ausreichend determinierte Angreifer reverse-engineeren Bytecode, während die breitere Population von Whitehat-Reviewern nicht helfen kann. Verifizierter Quellcode ist ein Netto-Plus für das Protokoll-Überleben.

  2. Bonding Curves sind mathematisch dicht und overflow-anfällig. Jede Operation, die Token-Beträge gegen Preis skaliert, erfordert explizite Aufmerksamkeit auf den Bereich. Solidity 0.8.0+ Overflow-Checks helfen, eliminieren das Problem aber nicht für Verträge, die explizit unchecked-Blöcke oder Pre-0.8-Muster nutzen.

  3. Long-Tail-Protokolle sind zunehmend die Angriffsfläche der Wahl. Große DeFi-Protokolle werden kontinuierlich auditiert; deprecated oder wenig aktive Verträge behalten oft sinnvolles TVL, während sie aktive Wartung verlieren. Die Asymmetrie — minimale defensive Aufmerksamkeit gegen dieselbe offensive Sophistikation — macht sie unverhältnismäßig attraktiv als Ziele.

Truebits 26,4 Mio. $ waren der erste 2026er Eintrag in dem, was, nach jüngster Erfahrung, eine lange Linie von „Legacy-Vertrags-Exploits" sein wird — Protokolle, deren Code während des DeFi-Sommers 2020-2021 ausgeliefert wurde und nie die Wartungsinvestition erhielt, mit der Bedrohungsumgebung Schritt zu halten.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-truebit-hack-january-2026
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/truebit-hack-first-major-crypto-exploit-of-2026
  3. [03]therecord.mediahttps://therecord.media/26-million-in-crypto-stolen-truebit

Verwandte Einträge