Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 257Fallo de smart contract

Desbordamiento entero en Truebit

Truebit perdió $26,4M cuando un desbordamiento entero en la curva de bonding de TRU de cinco años permitió acuñar TRU casi gratis y venderlo por 8.500 ETH.

Fecha
Víctima
Truebit
Cadena(s)
Ethereum
Estado
Fondos robados

El 8 de enero de 2026, el protocolo de verificación blockchain Truebit sufrió el primer gran hackeo cripto de 2026 — aproximadamente $26,4 millones (8.500 ETH) drenados de un contrato inteligente de código cerrado de cinco años de antigüedad mediante un desbordamiento entero en el precio de la curva de bonding del token TRU. El token TRU colapsó 100% en 24 horas.

Qué ocurrió

Truebit había desplegado su contrato de tokenómica aproximadamente cinco años antes del exploit, en una era en que la protección contra desbordamiento entero de Solidity tenía que implementarse manualmente (Solidity 0.8.0+ luego haría los chequeos de desbordamiento automáticos por defecto). El contrato era de código cerrado, lo que significa que su bytecode estaba on-chain pero su código fuente Solidity no era públicamente verificable en Etherscan o herramientas similares — una postura de seguridad que ocultó el bug de años de escrutinio público.

La vulnerabilidad estaba en la función de precios de la curva de bonding para el token TRU. Las curvas de bonding ponen precio a los tokens como función del suministro actual: cuanto más TRU haya en circulación, más caro es acuñar (o comprar) nuevo TRU. La curva de bonding incluía una operación matemática que, bajo condiciones específicas de entrada, desbordaba una variable entera — envolviendo el precio calculado hacia un valor cercano a cero.

El ataque:

  1. Identificó el disparador del desbordamiento mediante análisis del comportamiento del contrato de código cerrado.
  2. Llamó a la función mint con entradas que activaron el desbordamiento — el contrato calculó el coste del nuevo TRU como casi cero y acuñó el TRU solicitado al atacante.
  3. Vendió el TRU recién acuñado de vuelta al pool de la curva de bonding — recibiendo los activos de reserva del pool (ETH) a cambio.
  4. Resultado neto: acuñó TRU efectivamente gratis; recibió aproximadamente 8.500 ETH (~$26,4M) a cambio.

Consecuencias

  • El precio del token TRU colapsó 100% en 24 horas mientras el mercado descontaba tanto la dilución como la economía rota del protocolo.
  • Truebit no había sido desarrollado activamente durante años; la respuesta del equipo fue mínima.
  • La naturaleza de código cerrado del contrato fue ampliamente criticada por haber ocultado el bug a la comunidad más amplia de posibles revisores.
  • Los fondos robados fueron blanqueados a través de canales estándar.

Por qué importa

El incidente de Truebit es un caso de estudio llamativo de qué ocurre cuando un contrato inteligente desplegado sobrevive al mantenimiento activo de su equipo. Cinco años es mucho tiempo en DeFi. El lenguaje Solidity, las prácticas de auditoría y las listas de vulnerabilidades conocidas evolucionaron dramáticamente entre 2021 y 2026. El contrato de Truebit que era ingeniería razonable en 2021 — con protección manual contra desbordamiento — se volvió cada vez más vulnerable a medida que la comprensión más amplia del ecosistema de los casos límite mejoró, mientras que el propio contrato permanecía congelado.

Las lecciones estructurales:

  1. Los contratos inteligentes de código cerrado son una responsabilidad de seguridad a largo plazo. El argumento de "la oscuridad reduce la superficie de ataque" es empíricamente falso en las escalas de tiempo de los contratos DeFi importantes — atacantes suficientemente determinados hacen ingeniería inversa del bytecode, mientras que la población más amplia de revisores white-hat no puede ayudar. El código fuente verificado es un neto positivo para la supervivencia del protocolo.

  2. Las curvas de bonding son matemáticamente densas y propensas al desbordamiento. Cada operación que escala cantidades de tokens contra el precio requiere atención explícita al rango. Los chequeos de desbordamiento de Solidity 0.8.0+ ayudan pero no eliminan el problema para contratos que usan explícitamente bloques unchecked o patrones pre-0.8.

  3. Los protocolos de larga cola son cada vez más la superficie de ataque preferida. Los protocolos DeFi importantes se auditan continuamente; los contratos deprecados o de baja actividad a menudo retienen TVL significativo mientras pierden mantenimiento activo. La asimetría — atención defensiva mínima frente a la misma sofisticación ofensiva — los hace desproporcionadamente atractivos como objetivos.

Los $26,4M de Truebit fueron la primera entrada de 2026 en lo que es, por el historial reciente, una larga línea de "exploits de contratos legados" — protocolos cuyo código se lanzó durante el verano DeFi 2020-2021 y nunca recibió la inversión en mantenimiento para mantener el ritmo del entorno de amenazas.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-truebit-hack-january-2026
  2. [02]thedefiant.iohttps://thedefiant.io/news/hacks/truebit-hack-first-major-crypto-exploit-of-2026
  3. [03]therecord.mediahttps://therecord.media/26-million-in-crypto-stolen-truebit

Registros relacionados