Den 8 januari 2026 kollapsade Truebits TRU-token på Ethereum-block 24 191 019 efter att en transaktion tvingat protokollets inköpspris till noll. Det enda villkoret möjliggjorde obegränsad prägling och en snabb utgång till ETH. Fler detaljer följer.

Angriparen kallade getPurchasePrice, sedan buyTRU (0xa0296215), myntade mer TRU än det totala utbudet, upprepade cykeln och sålde sedan via sellTRU. Den totala kostnaden var under 40 dollar och transaktionen gav 8 535 ETH (cirka 26 miljoner dollar).

Endast TRU-tokenproxyn verifierades i Sourcify, kompilerad med Solidity 0.5.3. Den eran föregår inbyggda överfyllnadskontroller och många säkerhetsfunktioner. Gammal kod kan köras i åratal och sedan misslyckas när ett enda undantagsfall får bättre analys.

Vi dekompilerade det overifierade köpekontraktet och spårade getPurchasePrice till en intern funktion (0x1446) som beräknar pris från supply S, reserv R och THETA (75 vid tillfället). Säkra mattehjälpmedel användes genom större delen av vägen.

Felpunkten var det slutgiltiga uttrycket: v13 = _SafeDiv(v6, v12 + v9). Den tillägget var okontrollerat, och Solidity 0.5.3 återställs inte vid överflöd. Med tillräckligt stor indata wrappade den och heltalsdivisionen returnerade noll.

Vår fullständiga sammanfattning täcker grundorsaken och lärdomarna för äldre system: