2026年1月上旬、高度な攻撃者がTruebit取引所の購入およびミント用コントラクト内にある重大な脆弱性を特定し、TRUトークンの仕組みを、ほぼ無償で資産を生成できる自動ミントへと事実上変質させた。攻撃者は不正に生成したこれらのトークンをボンディングカーブの流動性プールへ売却して換金し、推定2,600万ドル相当のデジタル価値を流出させた。
侵害の標的となったのはレガシーなスマートコントラクト――5年前の設計上の遺物であり、多額のETH準備金を抱えながらも未修正のまま残されていた。コントラクトの不透明性が危険性をさらに増幅させた。クローズドソースであるため内部ロジックが外部のセキュリティ監査から遮断され、失敗の根本原因を決定的に再構成する取り組みを困難にした。
攻撃の核心は、TRUの価格を決定する数理の欠陥にあった。特定の状態条件下で、コントラクトの評価アルゴリズムがゼロへ向かって急落した。攻撃者は、綿密に調整したmsg.valueパラメータを伴う巨大なミント要求を組み立て、価格計算フェーズを操作することで、ほぼ無視できるコストでTRUを発行できるようにした。技術的痕跡は、脆弱性がgetPurchasePriceを含むコールチェーン内に隔離されていることを示唆するが、公開ソースコードが存在しないため、正確な機械的破綻は曖昧なまま覆い隠されている。
ほぼ無償のTRUを生み出す泉を確保した後、犯人はコントラクトから実体的な価値を吸い上げる段階へ進んだ。大規模なミントサイクルを連続して実行し、各トランザクションの値を精密に調整することで、コントラクトを「破断」状態に保ち続けた。十分な量のTRUを蓄積すると、資産をバーンして裏付けとなるETHを請求した。累積被害は約8,535 ETHと評価され、金額にして驚異的な2,600万ドルの損失に相当する。
注目すべき点として、攻撃者はプロのDeFi攻撃の特徴となっている手口を用いた。すなわち、トランザクションの優先順位を確保し、フロントランニングから保護するためにプレミアムを支払ったのである。これにより攻撃シーケンスは途切れることなく実行され、Truebitチームや便乗する第三者が介入して攻撃を阻止することを防いだ。
本件は、分散型金融における基本原則を痛烈に想起させる。スマートコントラクトには継続的な精査、厳格な監査、そして警戒的なオンチェーン監視が不可欠であり、とりわけミントの枠組み、償還ループ、流動性プールに関してはなおさらである。
翻訳元: https://meterpreter.org/the-minting-glitch-how-a-5-year-old-bug-cost-truebit-26-million/
