2026년 1월 8일, Truebit Protocol이 해커의 공격을 받아 8,535.36 ETH(약 2,644만 달러)의 손실을 입었으며, Truebit Protocol 공식은 다음 날 새벽에 이를 확인하는 글을 발표했다. ExVul 보안 팀은 이번 공격 사건에 대한 상세한 취약점 분석을 진행하였으며, 분석 결과는 다음과 같다:

공격 프로세스

공격자 주소:

0x6c8ec8f14be7c01672d31cfa5f2cefeab2562b50

공격 거래 해시:

0xcd4755645595094a8ab984d0db7e3b4aabde72a5c87c4f176a030629c47fb014

공격자는 4회 루프를 통해 getPurchasePrice→0xa0296215→0xc471b10b의 거래를 호출하여 공격을 완료하였다. 첫 번째 루프를 예로 들어 분석한다.

1. 공격자는 먼저 getPurchasePrice(240442509453545333947284131) 함수를 호출하여 0을 반환받았다.

2. 공격자는 0xa0296215(c6e3ae8e2cbab1298abaa3) 함수를 호출하며, 동시에 msg.value는 0이다. 결국 240442509453545333947284131개의 TRU를 성공적으로 발행하였다.

3. 공격자는 0xc471b10b(c6e3ae8e2cbab1298abaa3) 함수를 호출하였다. 결국 240442509453545333947284131개의 TRU를 소멸시키고 5105.06개의 ETH를 획득하였다.

공격 논리 분석

위의 공격 프로세스를 이해함으로써 getPurchasePrice 함수와 0xa0296215 함수의