离线计算协议Truebit近日遭遇重大安全事件，攻击者利用其智能合约中的溢出漏洞，以几乎零成本铸造大量Truebit（TRU）代币，相关损失约为2600万美元。

据Cointelegraph周五报道，事件发生后，TRU代币价格一度暴跌约99%。

区块链安全公司SlowMist在周二发布的事后分析中表示，攻击源于Truebit协议智能合约逻辑缺陷。该漏洞使攻击者能够“在不支付任何ETH的情况下铸造大量代币”，从而掏空合约储备。

SlowMist指出，问题出在Truebit协议中的Purchase合约：

“由于整数加法操作缺乏溢出保护，Truebit协议的Purchase合约在计算铸造TRU代币所需ETH数量时产生了错误结果。”

根据该分析，由于价格计算过程中未进行溢出检查，相关计算结果被错误地降为零。攻击者据此以近乎零成本铸造出价值约2600万美元的TRU代币，并从合约中抽走资金。

SlowMist进一步指出，该合约使用Solidity 0.6.10版本编译。该版本之前的Solidity并未内置整数溢出检查，当计算结果超过“uint256”最大值时，会发生“静默溢出”，数值回绕至接近零的小值，从而触发本次漏洞利用。

此次事件凸显出，即便是运行时间较长的区块链协议仍面临持续的安全风险。Truebit于2021年4月在以太坊主网上线，至今已接近五年。

智能合约安全问题在过去一年持续受到关注。此前，Anthropic的一项研究显示，商业可用的人工智能代理已在测试中发现价值约460万美元的智能合约漏洞。

根据该公司红队发布的研究论文，Anthropic的Claude Opus 4.5、Claude Sonnet 4.5以及OpenAI的GPT-5在智能合约测试过程中，共同开发出可利用的漏洞攻击代码，理论上可造成约460万美元损失。该红队的目标是在恶意行为者之前发现代码中的安全缺陷。

SlowMist在年终报告中统计，2025年智能合约漏洞已成为加密行业最大的攻击向量。当年共发生56起与合约漏洞相关的网络安全事件，其数量高于账户被攻破事件，后者为50起。

从占比来看，2025年合约漏洞占所有加密攻击事件的30.5%，被攻破的X账户占24%，私钥泄露占8.5%，位列第三。

与此同时，部分攻击者正从直接攻击协议代码，转向利用链上用户行为中的薄弱环节。

区块链安全平台CertiK的数据显示，2025年加密钓鱼诈骗成为加密行业的第二大威胁，全年造成投资者累计损失7.22亿美元，涉及248起事件。

加密钓鱼攻击属于社会工程学骗局，无需破解智能合约或底层代码。攻击者通常通过分享欺诈链接，引导受害者泄露敏感信息，例如加密钱包私钥，从而实现资产窃取。

CertiK数据还显示，尽管钓鱼攻击仍然高发，但投资者对相关风险的认知有所提升。2025年因钓鱼诈骗造成的7.22亿美元损失，较2024年约10亿美元的损失减少了38%。