Erster großer Hack des Jahres 2026: Truebit-Protokoll verliert 26,4 Millionen Dollar durch Schwachstelle in Smart Contract

Dies ist der erste dokumentierte größere DeFi-Hack des Jahres 2026, der die anhaltenden Sicherheitsrisiken im Ethereum-Ökosystem aufzeigt, selbst für Projekte mit einer langen Geschichte. Nach Angaben von CertiK wurden verdächtige Transaktionen gestern, am 8. Januar, entdeckt, und der Hacker zog erfolgreich Gelder durch eine Schwachstelle in einem alten Smart Contract ab.

Das Truebit-Protokoll ist eine Plattform zur Verifizierung von Berechnungen auf Ethereum, die den TRU-Token als Anreiz für Netzwerkteilnehmer verwendet. Das Projekt gibt es seit 2020, aber die Schwachstelle war in einem veralteten Vertrag versteckt (Adresse: 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2), der nicht ordnungsgemäß geprüft oder aktualisiert wurde. Infolge des Angriffs stürzte der Preis des TRU-Tokens um fast 100% ab, von 0,16 $ auf praktisch null (0,0000000029 $), wodurch die Marktkapitalisierung und Liquidität des Projekts vernichtet wurden.

Wie genau kam es zu dem Hack?

Die Sicherheitslücke basierte auf einem Überlauffehler in der Funktion getPurchasePrice() des Smart Contracts. Diese Funktion berechnet den Preis für die Prägung (Erstellung) von TRU-Token anhand einer Formel, die den gesamten Token-Vorrat, die ETH-Reserve und den Betrag, den der Benutzer kaufen möchte, berücksichtigt. Im Einzelnen:

• Die Formel berechnet Variablen wie v9 = 200 * Gesamtvorrat * Betrag * Reserve und v12 = 100 * Betrag * Betrag * Reserve.
• Dann werden v9 + v12 addiert, und das Ergebnis wird durch eine andere Variable (v6) geteilt.
• Das Problem tritt bei großen Werten des Parameters "amount" auf: Die Summe v9 + v12 überschreitet den Höchstwert für eine 256-Bit-Ganzzahl (2^256), was zu einem Überlauf führt. In Solidity (der Smart-Contract-Sprache für Ethereum) wird der Wert zu einer kleinen Zahl umgewandelt, wodurch der Token-Preis praktisch Null wird.

Der Hacker nutzte dies aus, indem er einen großen "Betrag"-Wert eingab, um eine unbegrenzte Anzahl von TRU-Token zu minimalen Kosten (fast umsonst) zu prägen. Diese Token wurden dann in Liquiditätspools auf Uniswap oder ähnlichen Plattformen verkauft und gegen ETH aus den Reserven des Protokolls getauscht. Der Prozess wurde in einer Schleife wiederholt: Prägung > Verkauf > ETH-Abfluss. Der erste Hacker (Adresse: 0x6C8EC8f14bE7C01672d31CFa5f2CEfeAB2562b50) hat den Hauptbetrag abgezogen, während ein zweiter Hacker etwa 250.000 Dollar erbeutet hat.

Interessanterweise führten die Hacker über mehrere Monate hinweg kleine Testangriffe durch(zwischen 2.000 und 15.000 Dollar), bevor sie den großen Schlag landeten.

Das Truebit-Team bestätigte den Vorfall und riet den Nutzern, nicht mit dem gefährdeten Vertrag zu interagieren. Das Team kooperiert mit den Strafverfolgungsbehörden bei der Untersuchung, aber die Chancen, die Gelder wiederzuerlangen, sind gering, wie es bei DeFi-Hacks oft der Fall ist. Analysten von Lookonchain und Cyvers weisen darauf hin, dass dies ein typisches Beispiel für eine Schwachstelle in veraltetem Code ist: Alte Verträge werden oft ignoriert, sind aber dennoch ein attraktives Ziel für Hacker.

Auswirkungen auf den Markt

Dieser Hack war der erste ernsthafte Schlag gegen DeFi im Jahr 2026 und erinnert uns an Schwachstellen selbst in "etablierten" Projekten. Die Gesamtverluste durch Hacks in der Kryptowirtschaft beliefen sich 2025 auf über 2 Mrd. USD, und der Trend hält an. Anlegern wird empfohlen, Vertragsprüfungen zu überprüfen und weniger bekannte Protokolle zu meiden. Es ist unwahrscheinlich, dass sich Truebit erholen wird, aber das Ereignis könnte die Branche zu besseren Sicherheitspraktiken ermutigen, wie z. B. regelmäßige Audits und die Umstellung auf neue Verträge.