Das Protokoll Truebit verlor am Donnerstag rund 8.535 ETH nach einem Exploit. Der Schaden entspricht umgerechnet 26,6 Millionen US-Dollar und wurde durch das Team von Truebit bislang nicht in seiner Höhe bestätigt. Laut einer Stellungnahme auf der Social-Media-Plattform X haben die Entwickler eine Schwachstelle in einem Smart Contract erkannt. Zudem teilte man mit, dass man aktuell mit Strafverfolgungsbehörden in Kontakt steht, um den Vorfall aufzuklären.
Alle weiteren Details stammen aus unabhängigen Blockchain‑Analysen. Demnach führte eine Fehlfunktion in der Preislogik eines älteren „Purchase“-Smart‑Contracts dazu, dass der Kaufpreis für sehr große TRU‑Mengen faktisch auf Null fiel. Angreifer konnten so TRU nahezu kostenlos beziehen und die Token über die Bonding‑Kurve gegen die im Contract hinterlegten ETH‑Reserven zurückverkaufen. Der betreffende Contract wurde vor rund fünf Jahren bereitgestellt. Das erklärt, warum der TRU‑Preis kurzfristig abstürzte, die Täter jedoch in ETH auscashten: Die Bonding‑Kurve zahlte Verkäufe aus den ETH‑Reserven, während der Markt den Wert des überversorgten TRU gleichzeitig einbrechen ließ.
Der Kurssturz nach dem Exploit war dementsprechend dramatisch. TRU verlor binnen kürzester Zeit 99,9 Prozent seines Werts und fiel von rund 0,16 US-Dollar auf nur 0,00007721 US-Dollar. Ob sich das Protokoll jemals von diesem finanziellen Schaden und dem massiven Vertrauensverlust erholen kann, bleibt mehr als fraglich.
Alte Contracts als tickende Zeitbomben
Der Truebit‑Vorfall rückt eine bekannte Schwachstelle erneut ins Rampenlicht: Legacy‑Smart‑Contracts werden zum Sicherheitsrisiko, je länger sie unverändert im Einsatz sind. Im DeFi-Sektor häufen sich Angriffe, die historische Implementierungsfehler ausnutzen. Bereits im November zeigte der Balancer‑Exploit, wie fatal ein scheinbar kleiner Rundungsfehler sein kann – über 120 Millionen US‑Dollar flossen aus den v2 Composable Stable Pools über mehrere Chains ab. In der zweiten Jahreshälfte 2025 traf es viele weitere Protokolle, darunter Bunni und Venus Protocol, die allesamt mit gezielten Angriffen auf ihre Smart‑Contracts zu kämpfen hatten. Das Muster ist klar: Altcode, der nicht konsequent gewartet, auditiert und migriert wird, lädt Angreifer ein.
Hinzu kommt eine neue Eskalationsstufe. Denn fortgeschrittene AI‑Agenten identifizieren inzwischen Schwachstellen nicht nur in überholten, sondern auch in frisch ausgerollten Ethereum‑Contracts. Damit wächst der Werkzeugkasten der Angreifer: Automatisierte Systeme finden obskure, komplexe Fehler schneller, systematischer und in größerer Breite als je zuvor. Für DeFi‑Teams bedeutet das: Legacy‑Risiken lassen sich nicht länger wegmoderieren. Wer den Code nicht aktualisiert, die ökonomischen Invarianten nicht überprüft und keine laufende Überwachung etabliert, riskiert nicht nur Ausfälle – sondern Totalschäden.
