Truebit 被爆智慧合約漏洞遭駭損失 2,600 萬美元，TRU 價格崩跌 99%

根據區塊鏈安全公司 SlowMist 的分析，區塊鏈基礎設施協議 Truebit 遭到針對智慧合約漏洞的攻擊，導致損失約 2,600 萬美元等值的代幣。此次事件重創 Truebit 原生代幣 TRU，其價格在短短一日內暴跌近 99%，幾乎陷入全面崩盤狀態。

本次攻擊的源頭來自協議中的「Purchase」智慧合約。SlowMist 在調查報告中指出，該合約存在嚴重的邏輯設計缺陷，攻擊者利用這一缺陷，在幾乎未支付任何以太幣(ETH)的情況下，非法發行大量 TRU 代幣。具體來說，該合約缺乏避免「整數溢位」的防護機制，使得原本的價格運算錯誤地回繞為 0，變相讓攻擊者「免費」鑄造代幣。

根據 SlowMist 說明，Truebit 採用了過時的 Solidity 0.6.10 版編譯器，該版本未內建防止整數溢位的安全機制。這種溢位漏洞會導致數值超出上限時重新計算從 0 開始的值，被稱為「回繞錯誤 (wraparound)」。評論：在目前區塊鏈基礎設施越來越成熟的背景下，仍有協議採用過時工具，顯示開發者對於安全性的重視程度不足。

Truebit 是一個自 2021 年 4 月起便部署於以太坊主網的協議，運行時間已超過三年。此次遭遇重大安全事故，凸顯了智慧合約依然是區塊鏈產業中最薄弱的一環。

根據 SlowMist 的統計，智慧合約在 2025 年所引發的安全事件，佔整體攻擊事件的 30.5%，為所有分項中比例最高。其次依序為帳戶盜用（24%）與私鑰洩露（8.5%），顯示智慧合約的技術漏洞已成為駭客攻擊的首要目標。

實際上，人工智慧（AI）也已能在智慧合約攻擊中發揮作用。AI 公司 Anthropic 近期運用其模型 Claude Opus 4.5、Sonnet 4.5 與 OpenAI 的 GPT-5 測試版本，發現 AI 能自動檢測價值約 460 萬美元的智慧合約漏洞，並設計完整的攻擊腳本。

除了技術性攻擊外，人為疏忽導致的「釣魚詐騙」案件也屢見不鮮。根據區塊鏈安全平台 CertiK 統計，2025 年的釣魚詐騙損失總額高達 7 億 2,200 萬美元，案件多數涉及用戶點擊誘導連結，進而洩漏錢包私鑰或助記詞。

值得注意的是，整體市場對安全風險的意識有所提升。與 2024 年相較，2025 年釣魚詐騙造成的損失減少了約 38%。評論：這反映投資人開始建立基本的資安意識，也顯示教育與預警策略逐漸見效。

Truebit 的此次攻擊事件不僅是一家協議的集體失敗，更突顯了即使已營運多年的平台仍可能潛藏重大安全風險。目前業界對智慧合約漏洞的關注勢必升溫，未來也將帶動更多針對智慧合約開發、審計與測試工具的創新發展。

（資料來源：SlowMist、CertiK、Anthropic，2025 年）