2026年1月7日、イーサリアムレイヤー2のスケーリングソリューションであるTruebitプロトコルが重大なスマートコントラクトの脆弱性攻撃を受け、8,535 ETH以上の損失を被り、その価値は約2,600万ドルに上った。この事件により、ネイティブトークンTRUの価格は短時間で99%以上暴落し、約0.16ドルから0.005ドルの歴史的安値まで急落した。
オンチェーン分析によると、今回の攻撃はコントラクト内の価格設定ロジック関数の致命的な欠陥に起因し、攻撃者がコストゼロでトークンを鋳造し、資金プールを枯渇させることを可能にした。この事故は2026年初頭最大のセキュリティインシデントの一つであるだけでなく、DeFi(分散型金融)全体のスマートコントラクトのセキュリティ監査とリスク管理に対して再び警鐘を鳴らした。
2026年1月7日、Truebitプロトコルはソーシャルメディア上で公告を出し、スマートコントラクトが悪意のある攻撃を受けたことを確認した。公告によると、関係するコントラクトアドレスは「Truebit Protocol: Purchase」(0x764C64…2EF2)であり、ユーザーに対してすべてのインタラクションを停止するよう緊急に呼びかけている。公式発表では具体的な損失額は明らかにされていないが、ブロックチェーンセキュリティの分析者や探偵たちが異常な資金流動を迅速に特定した。Lookonchainなどの分析によると、攻撃者は一連の操作を経て、最終的に8,535 ETHを盗み出し、当時の価格で総額約2,600万ドルに達した。
この攻撃の技術的根源は、コミュニティによって迅速に暴露された。問題の核心は、getPurchasePrice[uint256]という関数に深刻な価格設定の誤りがあったことにある。この関数は本来、トークンの鋳造に必要な支払い額を計算するものであるが、異常に巨大な鋳造リクエストが発生した際に、誤ってゼロ価格を返す仕様となっていた。この脆弱性は、攻撃者にとって「無料でトークンを製造できる扉」を開けてしまった。
この脆弱性を利用し、攻撃者は「ゼロコストでトークンを鋳造→コントラクトの資金曲線(Bonding Curve)に売却してETHを換金」というループ操作を繰り返した。この操作は極めて短時間で何度も行われ、まるでポンプのように資金プールのETHを吸い尽くした。特に、主要な攻撃取引の一つは、呼び出し関数の名前が「Attack」と直接付けられているなど、その傲慢さが窺える。手に入れた資金の大部分は一つのメインアドレスに集約され、少量がサブウォレットに送られた。その後、盗まれたETHの約半分は、プライバシーコインのTornado Cashに素早く送金され、追跡を困難にするこの操作は、今回の攻撃が計画的かつ組織的な行動であった可能性を示唆している。
このセキュリティインシデントは、市場の信頼に対して即効かつ破壊的な打撃を与えた。脆弱性の悪用と情報拡散とほぼ同時に、TruebitのネイティブトークンTRUの価格は急落を始めた。Nansenのデータによると、TRUの価格は事件前の約0.16ドルから、最大で0.0000000029ドルまで暴落し、99%以上の下落を記録した。主要な中央取引所(CEX)では、TRUのK線チャートはほぼ垂直に下落する巨大な陰線を描き、0.16ドル付近から瞬時に0.005ドルまで落ち込み、1日の下落率も60%以上に達した。
この“足首斬り”級の暴落は、通常の市場変動範囲を大きく超えており、投資家が突発的な巨大リスクに直面してパニック的に売り急いだことを明確に示している。市場の焦点は、2,600万ドルの巨額資産の損失だけでなく、コアとなるスマートコントラクトにこのような根本的な脆弱性が露呈したことによる深刻な信頼喪失にある。投資家は問いかける:イーサリアムの重要なスケーリング解決策を目指すプロトコルの自体の経済モデルコントラクトがこれほど脆弱であった場合、その技術的安全性は本当に信頼できるのか?チームのセキュリティ監査やリスク管理のプロセスに重大な抜け穴はなかったのか?
この記事執筆時点で、Truebitチームは事件の公告と法執行機関への連絡を行ったことを表明しているが、資金の回収計画や被害者への具体的な補償策については未発表である。この不確実性はまるで暗雲のように市場を覆い、TRUの価格は歴史的な安値圏で推移し、流動性もほぼ枯渇している。TRUを保有するすべての人にとって、これはまさに悪夢である。この事件は、暗号市場の鉄則を再確認させるものである:システム的なセキュリティリスクに直面したとき、どんなトークンの経済モデルやガバナンスのストーリー、未来のビジョンも脆弱である。
Truebitの悲劇は孤立した事件ではなく、2025年末から2026年初頭にかけて連鎖する不安なセキュリティインシデントの一部である。直前の2025年12月には、パブリックチェーンのFlowが攻撃を受け約390万ドルの損失を出し、Trust WalletのChrome拡張機能も悪意のあるアップデートにより約700万ドルが盗まれた。この一連の攻撃は、ブロックチェーン業界において安全技術や監査の実践が進む一方で、攻撃者の手口も進化し続けている現実を浮き彫りにしている。攻撃対象は取引所やクロスチェーンブリッジから、より底層のプロトコルやインフラにまで拡大している。
もう一つのマクロなトレンドは、Chainalysisの報告によると、2025年の暗号通貨関連の違法取引総額は約154億ドルに急増し、その中で盗難資金や制裁対象の活動が主要な推進力となっていることだ。このデータは、暗号犯罪がより利益を得やすく、組織化されつつあることを示している。攻撃の動機は高度に経済化されており、攻撃者は価格設定や担保、トークン発行など資金密集の部分にある脆弱点を狙い続けている。
しかしながら、全体として業界のセキュリティ防御能力も向上している。PeckShieldが2026年1月1日に公開したデータによると、2025年12月の全業界の損失は約7600万ドルであり、11月の1億9400万ドルから大きく減少している。これは、プロジェクト側がセキュリティ対策を強化したことや、一般的な攻撃パターンに対する認識と防御が進んだことの反映とも考えられる。しかし、Truebit事件は冷水を浴びせるものであり、誰もが忘れてはならないのは、「安全は終わりなき戦い」であり、わずかなコードの欠陥も拡大し、壊滅的な結果をもたらす可能性があるということだ。この“攻防”の軍拡競争は長期にわたって続くことになる。
Truebitの2,600万ドルの代償は、暗号エコシステム全体、特にDeFi分野に対して痛烈な教訓をもたらした。DeFiプロトコル開発者にとって、この事件は複数の失策の典型例である。まず、スマートコントラクトのコード監査に重大な欠陥があったことだ。ゼロ価格を返す価格設定関数は、完全な監査プロセスの中で高リスクの脆弱性として事前に発見・修正されるべきだった。次に、リスクコントロールと監視の仕組みが虚弱だった点だ。単一アドレスが極短時間で無制限に近い回数のゼロコスト鋳造やアービトラージを行える状態を放置し、警告や一時停止の仕組みがなかったことは、運用時のリスク管理の設計ミスを示している。最後に、危機対応とコミュニケーションの遅れと不透明さだ。資産がすでにコインミキサーを通じて移動された後の追跡や補償、保険の有無など、重要な問題についての迅速な回答がなく、信頼崩壊を加速させた。
投資家、特にDeFiに参加する者にとっても、この事件は避けるべきリスク管理の指南となる。
総じて、Truebit事件は暗号世界の発展過程における痛みの記録である。それは、金融革新と効率性の追求の中で、安全性がいかに重要な基盤であるかを痛感させるものである。コードは法律であり、分散化された世界においては、すべてのコードがユーザーの資産と信頼を担っている。リスクと安全を畏れる心を持つことが、すべての関係者と参加者の最優先の信条となるべきだ。
