26 millones de dólares por una miseria: un hacker halló una vulnerabilidad en un contrato de Truebit de cinco años y se convirtió en millonario
Un atacante descubrió cómo acuñar TRU casi gratis y lo cambió por miles de ETH.
A comienzos de enero de 2026, un atacante encontró una vulnerabilidad en el contrato de compra y acuñación de TRU del exchange Truebit y convirtió los tokens en una imprenta de monedas casi gratuitas. Luego, el atacante vendió esos TRU de nuevo en un pool con curvas de vinculación (curvas de vinculación), extrayendo, según las estimaciones, alrededor de 26 millones de dólares.
Según la descripción del incidente, el ataque se topó con un contrato inteligente antiguo, de unos cinco años, que en el ecosistema de Truebit no se sustituyó, aunque en su interior quedaban reservas significativas en ETH. El contrato estaba además cerrado: el código fuente no se publicaba, por lo que desde fuera no se podía evaluar correctamente su lógica y sus riesgos, y ahora es difícil reconstruir con exactitud la causa raíz del fallo.
El problema clave fue la matemática de fijación de precios de TRU. En determinado estado, el contrato empezaba a calcular el precio del token casi en cero. El atacante enviaba solicitudes de acuñación enormes con un msg.value cuidadosamente elegido, y en la etapa de cálculo del precio obtenía un valor incorrecto que, de hecho, permitía acuñar TRU por unas migajas. En la descripción se menciona una cadena de llamadas a través de getPurchasePrice, donde a su vez se invoca otra función con bajo msg.value, y probablemente ahí se oculta la vulnerabilidad. Pero debido al código cerrado, el mecanismo exacto sigue sin estar claro.
Tras obtener una fuente de TRU casi gratuitos, el atacante empezó a extraer el valor real del contrato. Realizó una serie de acuñaciones masivas, cada vez ajustando el msg.value para que el contrato permaneciera en el estado «roto» deseado y siguiera devolviendo valores erróneos. Cuando se acumularon suficientes TRU, pudieron quemarse y retirar ETH del contrato inteligente. El daño total se estima en aproximadamente 8 535 ETH, lo que, al convertirlo a moneda, equivale a unos 26 millones de dólares.
También se destaca una técnica que hace tiempo se ha vuelto estándar en la carrera por obtener beneficios en DeFi. El atacante pagó una pequeña cantidad para obtener prioridad de inclusión de sus transacciones en el bloque y protección frente a interferencias y front-running. Esto facilitó ejecutar la serie de operaciones de forma secuencial, sin dar opción a observadores externos ni al propio equipo de TRU a interponerse y frustrar el ataque.
El incidente recordó de nuevo algo básico: los contratos inteligentes deben revisarse periódicamente, auditarse y supervisarse para detectar anomalías en la cadena de bloques, especialmente cuando se trata de procesos de acuñación, recompra y pools de liquidez.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!