Hacker steelt 8.535 ETH bij aanval op Truebit Protocol

Truebit Protocol is het slachtoffer geworden van een grote exploit waarbij ruim $26 miljoen aan Ethereum is buitgemaakt. Op 8 januari 2026 werd er via een slim opgezette smart contract aanval 8.535 ETH weggesluisd uit het systeem. De aanval werd gesignaleerd door Cyvers Alerts, die het incident meldde op X.

De schade is enorm, en de exploit lijkt volledig geautomatiseerd en goed voorbereid. Dezelfde wallet was verantwoordelijk voor de contract deploy, het triggeren van de transactie én het ontvangen van de buit.

Ethereum is verkrijgbaar bij Bitvavo en Bybit.

Aanvaller gebruikt één wallet voor alles

Uit on chain data blijkt dat één en hetzelfde adres de aanval volledig heeft uitgevoerd. Het adres (beginnend met 0x6c8ec8f1…) deployde een malafide contract, riep het slimme contract van Truebit aan, en kreeg uiteindelijk de gestolen ETH op dezelfde wallet terug. In totaal werd er 8.535 ETH overgemaakt, goed voor een waarde van ongeveer $26,4 miljoen.

De aanval richtte zich specifiek op een contract met de naam “Truebit Protocol: Purchase”. Dit lijkt een onderdeel te zijn van het mechanisme waarmee gebruikers rekencapaciteit kunnen inkopen binnen het Truebit systeem. Door een kwetsbaarheid in deze module kon de aanvaller toegang krijgen tot fondsen zonder hiervoor de juiste voorwaarden te vervullen.

🚨ALERT🚨Hey @Truebitprotocol Our system has detected suspicious transaction with estimated loss of 26M! An address got around 8,535 $ETH from "Truebit Protocol: Purchase" More information will follow! If you wish to safeguard yourself against such incident, please contact us to…

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) · January 8, 2026

Cyvers Alerts geeft waarschuwing en hulpaanbod

Beveiligingsbedrijf Cyvers was er snel bij en gaf via X een waarschuwing uit aan Truebit zelf en hun gebruikers. Ze melden dat hun systeem de transactie automatisch als verdacht herkende en raadden aan om contact op te nemen voor verdere beveiligingsmaatregelen. Het bedrijf biedt ook een demo aan van hun monitoring oplossing voor wie zich wil wapenen tegen dit soort aanvallen.

Het is nog onduidelijk of er stappen worden ondernomen om de fondsen terug te halen, of dat Truebit verdere maatregelen gaat aankondigen. De aanval toont opnieuw aan hoe belangrijk het is om smart contracts regelmatig te laten auditen en te voorzien van fail safes om grote verliezen te voorkomen. Een vergelijkbare waarschuwing klonk eerder bij een exploit die AI developers trof via een IDE lek.

Voorlopig is de hacker dus in het bezit van miljoenen aan ETH, en blijft de community achter met vragen over hoe dit kon gebeuren en hoe het voorkomen had kunnen worden.