Truebitプロトコル、致命的な脆弱性を悪用したサイバー攻撃で2600万ドルの被害

Truebitプロトコルの深刻な脆弱性が露呈

2026年1月初旬、Truebitプロトコルは深刻なサイバー攻撃を受けた。
攻撃者は、Truebitの購入および発行コントラクトに存在する致命的な脆弱性を突き、TRUトークンの仕組みを、ほぼコストをかけずに資産を生成できる自動発行機構へと変質させた。

その結果、攻撃者はボンディングカーブ型の流動性プールから、約2,600万ドル相当のデジタル資産を不正に奪取した。

古いスマートコントラクトに起因する脆弱性

今回の攻撃は、約5年前にデプロイされた未修正のスマートコントラクトを標的としていた。
当該コントラクトは相当量のETHを保有していたにもかかわらず、クローズドソースで運用されており、外部によるセキュリティ監査が不可能だったため、脆弱性の根本原因を明確に特定することが困難な状況にあった。

攻撃の核心は、TRU価格を算出する数理ロジック上の欠陥にある。特定の状態条件下において、コントラクトの評価アルゴリズムがほぼゼロに近づく挙動を示し、攻撃者はこれを利用して、巧妙に調整した msg.value パラメータを用いながら発行処理を操作した。
その結果、ほぼコストをかけることなく大量のTRUトークンを発行することが可能となった。

巨額の経済的損失が発生

攻撃者は、ほぼコストをかけずに発行したTRUトークンを利用し、コントラクトから実質的な価値を不正に奪取した。
大量発行のサイクルを繰り返すことでコントラクトを意図的に「破損した状態」に維持しつつ、各取引における価値を精密に調整していたとみられる。

十分な量のTRUを蓄積した後、攻撃者はトークンを焼却し、基盤資産であるETHを回収した。その結果、総額8,535 ETH、約2,600万ドル相当の深刻な経済的損失が発生した。

取引優先権の確保による攻撃の継続

今回の攻撃は、DeFi搾取における高度に専門化された手法を示している。
攻撃者は、取引の優先順位を確保し、フロントランニングによる妨害を回避するため、追加の手数料を支払ってトランザクションを送信した。

これにより、攻撃は中断されることなく継続され、**Truebit**チームや第三者が介入・阻止する余地を与えなかった。

暗号資産犯罪の増加傾向

今回の事件は、暗号資産犯罪が一層専門化・高度化している現状を浮き彫りにしている。
最近の報告によれば、昨年だけでも少なくとも1,540億ドルが悪意のある暗号資産アドレスへ送金されており、これは前年と比べて162％の増加に相当する。

これらの資金の多くは、中国を拠点とする暗号資産関連の不正活動や資金洗浄オペレーションを含む制裁対象組織に流入しているとされる。この状況は、スマートコントラクトに対する継続的な検証と監査に加え、流動性プールなどの重要要素を体系的にモニタリングする必要性を改めて示している。