Truebit-exploit wist 99% van tokenwaarde uit na diefstal van 26 miljoen dollar aan Ether

De TRU-token van Truebit crasht meer dan 99% na een exploit van 26 miljoen dollar aan Ether, waarmee een reeks grote DeFi-beveiligingsschendingen wordt voortgezet ondanks dalende totale verliezen.

Truebit erkende "een beveiligingsincident waarbij een of meer kwaadwillende actoren betrokken waren" dat verbonden was aan een smart contract-adres dat wijst op verliezen van ongeveer 26 miljoen dollar aan Ether. In een bericht op X zei het team dat het contact had met wetshandhaving en "alle beschikbare maatregelen nam" na de schending, maar heeft nog geen gedetailleerde technische post-mortem gegeven.​

On-chain analisten die het protocol monitoren, meldden dat de aanvaller ongeveer 8.535 ETH wegsluisde, destijds ter waarde van ongeveer 26,6 miljoen dollar. Hoewel het door Truebit gemarkeerde contractadres slechts kleine hoeveelheden gestolen ETH toont, hebben blockchain-onderzoekers zoals Lookonchain en anderen gewezen op een breder patroon van bewegingen dat aangeeft dat "het totale bedrag aan cryptocurrency dat bij de aanval werd gestolen meer dan 26 miljoen dollar bedroeg."​

De marktreactie was brutal en onmiddellijk. Volgens gegevens van Nansen stortte de prijs van Truebit's TRU-token meer dan 99% in, van ongeveer 0,16 dollar naar een dieptepunt aller tijden van bijna 0,0000000029 dollar toen berichten over de exploit zich verspreidden. Op het moment van publicatie bleef het onduidelijk wat precies de exploit van meerdere miljoenen dollars veroorzaakte of dat fondsen van eindgebruikers die op het protocol werden aangehouden direct risico liepen, en Cointelegraph merkte op dat Truebit niet had gereageerd op een verzoek om commentaar.​

Flow's incident met vervalste tokens

De Truebit-schending volgt op een december waarin meerdere spraakmakende exploits het vertrouwen in blockchain-infrastructuur schokten. Op 27 december 2025 maakte de Flow Foundation bekend dat een aanvaller een kwetsbaarheid in het Flow-netwerk exploiteerde om "tokens te vervalsen en ongeveer 3,9 miljoen USD te extraheren."​

In zijn technische post-mortem benadrukte Flow dat "geen bestaande gebruikerssaldi werden benaderd of gecompromitteerd" en dat de aanval activa dupliceerde in plaats van legitieme bezittingen aan te raken. Validators coördineerden een netwerkstop binnen ongeveer zes uur na de eerste kwaadwillende transactie, en de meeste vervalste activa werden ofwel on-chain bevroren of hersteld en vernietigd in coördinatie met exchanges.​

Trust Wallet's kwaadwillende Chrome-update

Trust Wallet kreeg ook te maken met een grote beveiligingsfout eind december toen zijn Chrome-browserextensie werd gecompromitteerd. Het bedrijf bevestigde later dat versie 2.68 van de extensie kwaadaardige code bevatte waarmee een aanvaller toegang kon krijgen tot gevoelige walletgegevens en gebruikersfondsen kon wegsluizen, wat uiteindelijk leidde tot geschatte verliezen van ongeveer 7 miljoen dollar.​

Trust Wallet drong er bij gebruikers op aan om onmiddellijk bij te werken naar versie 2.69 en lanceerde een terugbetalingsproces, waarbij werd gewaarschuwd voor secundaire oplichting via valse compensatieformulieren en namaak-ondersteuningsaccounts. CEO Eowyn Chen zei dat de kwaadaardige build "hoogstwaarschijnlijk extern werd gepubliceerd via de Chrome Web Store API-sleutel, waarbij onze standaard releasecontroles werden omzeild," wat de supply-chain dimensie van de compromittering onderstreepte.​

Sectorwijde verliezen en beveiligingstrend

Ondanks de opeenvolging van grote schendingen, daalden de sectorwijde verliezen door hacks en exploits daadwerkelijk aan het einde van het jaar. Blockchain-analysebedrijf PeckShield meldde dat de totale verliezen in de cryptosector daalden tot ongeveer 76 miljoen dollar in december, fors omlaag van ongeveer 194 miljoen in november.​