El protocolo Truebit perdió aproximadamente $26M después de que un atacante explotara un contrato inteligente heredado para acuñar una cantidad efectivamente ilimitada de tokens TRU y drenar liquidez.
Según análisis en cadena y reportes contemporáneos, el atacante activó lo que los informes describieron como una función de «acuñación infinita» en un contrato heredado. El fallo—un desbordamiento de enteros agravado por la ausencia de comprobaciones de desbordamiento nativas en esa versión de Solidity—permitió la creación de TRU a costo despreciable.
Con una oferta de tokens saturada, el atacante drenó la liquidez del protocolo de Truebit y convirtió saldos fuera del ecosistema; los fondos fueron luego movidos de forma que ocultaron su rastro.
El incidente puso de manifiesto una vulnerabilidad silenciosa de desbordamiento de enteros en un contrato compilado con Solidity 0.6.10 y desplegado en 2021, un fallo que pasó desapercibido en medio de auditorías continuas insuficientes.
La brecha subraya el riesgo que los contratos heredados suponen para la liquidez de DeFi. Incluso protocolos lanzados años antes siguen siendo vulnerables si dependen de versiones antiguas del compilador y carecen de revisiones continuas por terceros.
El efecto inmediato en el mercado fue severo: la capitalización de mercado de TRU se derrumbó y los pools sufrieron fuertes salidas, empeorando la formación de precios y la liquidez para tenedores y contrapartes.
Cómo se desarrolló el exploit en Truebit
Los expertos en seguridad enfatizaron la lección estructural: las auditorías continuas y el endurecimiento proactivo del código son parte integral de la resiliencia de la plataforma. «El exploit sirve como un recordatorio contundente de la fragilidad de los protocolos DeFi que dependen de contratos inteligentes heredados», dijeron los analistas que cubrieron el incidente.
Desde el ángulo de cumplimiento, el rápido blanqueo de los fondos complica la recuperación y aumenta la presión sobre los exchanges y los proveedores de análisis en cadena para rastrear y congelar activos contaminados. Para los participantes institucionales, el episodio plantea preguntas sobre exposiciones de custodia, riesgo de contraparte y la adecuación de la diligencia debida sobre activos tokenizados vinculados a bases de código antiguas.
Los inversores y los equipos de producto ahora observan los pasos de remediación de Truebit y cualquier actualización de auditoría independiente; esas acciones determinarán si los procesos de gobernanza y seguridad pueden restaurar la liquidez y la confianza del mercado.
