Am 8. Januar 2026 wurde das Truebit-Protokoll Ziel eines großen Hacks, bei dem rund 8.535 Ether (ETH) im Wert von etwa 26 Millionen US-Dollar erbeutet wurden. Die gestohlenen Gelder wurden anschließend über den Krypto-Mixer Tornado Cash gewaschen.
Der Angriff nutzte eine Schwachstelle, einen sogenannten Integer-Überlauf, in einem fünf Jahre alten Smart Contract des Truebit-Protokolls aus. Diese Sicherheitslücke in der `getPurchasePrice()`-Funktion erlaubte es dem Angreifer, Millionen von TRU-Token fast kostenlos zu prägen. Durch den anschließenden Rückverkauf dieser Token entzog der Hacker der Liquidität des Protokolls.
Nach dem Exploit brach der Wert des TRU-Tokens um mehr als 99,9 Prozent ein.
Die gestohlenen 8.535 ETH, zum Zeitpunkt des Hacks etwa 26,44 Millionen US-Dollar wert, wurden laut Blockchain-Analysten vollständig über Tornado Cash transferiert und gewaschen. Tornado Cash ist ein Dienst, der Transaktionsanonymität erhöht, aber auch von US-Behörden sanktioniert wurde, da er zur Geldwäsche genutzt wird.
Das Truebit-Team hat eine Zusammenarbeit mit Strafverfolgungsbehörden eingeleitet und prüft das Protokoll umfassend. Nutzern wird dringend geraten, bis auf Weiteres nicht mit dem kompromittierten Smart Contract zu interagieren.
Experten vermuten, dass der Angreifer über fortgeschrittene Fähigkeiten verfügt, da seine Wallet mit einem früheren Hack des Sparkle-Protokolls in Verbindung gebracht wird.
