L’essentiel : le 8 janvier 2026, le protocole Truebit est exploité pour 8 535 ETH, soit environ 26,4 M$. La faille : un integer overflow dans la fonction de calcul du prix d’achat du token TRU, restée active depuis le déploiement du contrat en avril 2021. L’attaquant fait passer un nombre immense dans la fonction de prix, qui « wrappe » à zéro à cause d’un bug d’arithmétique non vérifiée. Il achète ensuite des millions de TRU pour zéro ETH, puis les revend à la trésorerie du protocole en échange d’ETH réels. Le token TRU s’effondre de 99,9 %, passant de 0,16 $ à 0,0000000029 $ en quelques heures. Les 8 535 ETH sont blanchis dans la foulée via Tornado Cash. CertiK et PeckShield confirment l’analyse, qui révèle un contrat compilé avec Solidity 0.6.10 sans overflow checks et sans audit tiers public.
Que s’est-il passé ce 8 janvier 2026 ?
Truebit est un protocole de calcul off-chain pour Ethereum, lancé en avril 2021. Son rôle : permettre l’exécution de calculs lourds en dehors de la blockchain tout en garantissant la vérifiabilité des résultats. Le token TRU sert d’incitatif économique aux validateurs.
Le 8 janvier 2026 dans la matinée (heure UTC), un attaquant déclenche une série de transactions sur le contrat « Purchase » de Truebit. En quelques minutes, il extrait 8 535 ETH (~26,44 M$) de la trésorerie du protocole. The Defiant titre dans la foulée « Truebit Hack Wipes Out TRU in First Major Exploit of 2026 », CoinDesk publie une analyse détaillée le 9 janvier.
CertiK et PeckShield, deux cabinets d’audit blockchain, confirment rapidement le vecteur. SlowMist publie une analyse complémentaire qui pointe la même cause racine : un integer overflow dans la logique de calcul du prix d’achat de TRU.
La faille : un integer overflow expliqué simplement
Un integer overflow, c’est ce qui arrive quand un nombre devient trop grand pour la « boîte » qui le stocke. Imaginez un compteur kilométrique mécanique qui repasse à 000 000 après 999 999 km : c’est exactement ça, mais avec des nombres beaucoup plus grands.
Dans le contrat Truebit, la fonction qui calcule combien d’ETH il faut payer pour acheter un certain nombre de TRU contenait une multiplication. Quand un attaquant passe un nombre suffisamment énorme en argument, le résultat de la multiplication dépasse la capacité de stockage (un uint256 monte jusqu’à environ 1,15 × 10⁷⁷). En Solidity 0.6.10, la version utilisée par Truebit, le langage ne fait pas de vérification automatique : il « wrappe » silencieusement le résultat. Un nombre qui aurait dû être astronomique redescend à une valeur minuscule, voire zéro.
Concrètement, l’attaquant a appelé buyTRU() avec une quantité tellement énorme que le coût en ETH calculé est tombé à zéro. Il a donc reçu des millions de TRU pour rien. Puis il a immédiatement revendu ces TRU au contrat lui-même, qui les a payés au taux normal. La trésorerie ETH du protocole a fait la différence.
L’analyse BlockSec du 9 janvier détaille le scénario transaction par transaction. C’est un cas d’école d’arithmétique non sécurisée.
Pourquoi un protocole déployé en 2021 reste vulnérable en 2026 ?
C’est le point qui interroge le plus. Solidity 0.8.0, sorti en décembre 2020, introduit des overflow checks par défaut : tout dépassement déclenche un revert automatique de la transaction. Le contrat Truebit a été déployé en avril 2021, soit quatre mois après la sortie de la version qui aurait empêché l’exploit. Les développeurs ont fait le choix de compiler avec 0.6.10, sans implémenter de garde-fou manuel (la bibliothèque SafeMath d’OpenZeppelin existe pourtant depuis 2018).
Trois explications plausibles, selon l’article du Phemex News :
D’abord, le code historique. Beaucoup de projets DeFi ont commencé en 2019-2020 avec des versions Solidity plus anciennes et n’ont jamais migré, par crainte de casser des dépendances ou par manque de bandwidth d’équipe.
Ensuite, l’absence d’audit. Aucun audit public n’apparaît sur les pages officielles de Truebit ni dans les bases CertiK Skynet et PeckShield. Un audit tiers à 50-100 k$ aurait probablement détecté un overflow de pricing function : c’est exactement le type de pattern que les outils Slither ou Mythril repèrent.
Enfin, la dérive d’attention. Quand un protocole vit cinq ans sans incident, l’équipe se concentre sur les nouvelles features et oublie de revisiter le code legacy. C’est précisément ce que ciblent les attaquants en 2026 : les vieux contrats peu maintenus, oubliés mais toujours actifs.
Yahoo Finance résume dans son article du 9 janvier : « Attackers increasingly target older DeFi protocols ». Truebit est le premier gros cas 2026 ; ce ne sera pas le dernier.
La trace : 8 535 ETH dans Tornado Cash
Quelques heures après l’exploit, l’attaquant déplace l’intégralité des 8 535 ETH vers Tornado Cash, le mixer Ethereum. Selon Lookonchain, 100 % des fonds sont passés par le mixer en quelques transactions, ce qui rend leur traçabilité quasi nulle pour la suite.
C’est une signature comportementale typique : exploit massif puis lavage immédiat via Tornado Cash. Les analystes on-chain peuvent suivre les flux jusqu’à l’entrée du mixer, mais pas au-delà, sauf si l’attaquant fait l’erreur de retirer vers une adresse identifiable (exchange KYC, ENS lié à une identité). À la date de cet article, aucune attribution claire n’a été établie publiquement.
Que retenir comme utilisateur DeFi ?
Truebit n’était pas un protocole grand public en 2026, mais l’exploit illustre des principes qui valent pour n’importe quel autre. Avant de déposer dans un protocole, quelques vérifications simples réduisent fortement le risque.
Vérifier l’audit. Pas de page « Audits » sur le site officiel ? Pas d’entrée chez CertiK Skynet, PeckShield, OpenZeppelin Audits, Trail of Bits ? C’est un drapeau rouge sérieux. Un audit récent (moins de 12 mois) sur la dernière version du contrat est un minimum pour un protocole qui détient plus de 1 M$.
Vérifier la version Solidity. Sur Etherscan, dans l’onglet « Contract », la version du compilateur apparaît en haut. Tout ce qui est inférieur à 0.8.0 sans utilisation explicite de SafeMath ou de checks manuels est suspect. Ce n’est pas une condamnation automatique, mais ça impose un audit récent solide.
Vérifier l’activité de l’équipe. Repository GitHub actif, mises à jour régulières, documentation à jour, multisig de gouvernance avec plusieurs signataires identifiés ? Un protocole « zombi » qui tourne sans maintenance est une cible de choix pour les attaquants en 2026.
Préférer les protocoles blue-chip pour les gros montants. Aave, Uniswap, Compound, Lido… ces protocoles tournent depuis des années avec audit régulier et bug bounty actif. Le rendement est souvent inférieur, mais la prime de risque est radicalement différente.
Pour un rappel des bonnes pratiques de sécurité crypto, voyez nos guides Protéger vos cryptomonnaies contre les pirates et Se protéger des différents types de hack.
Truebit était-il audité avant le hack ?
Aucun audit tiers public n’apparaît sur les sources principales (CertiK Skynet, PeckShield, OpenZeppelin). Le contrat « Purchase » exploité a été déployé en avril 2021 et n’avait pas été revisité publiquement depuis. C’est un facteur de risque majeur que les utilisateurs auraient pu repérer avant de déposer.
Qu’est-ce qu’un integer overflow concrètement ?
Quand un nombre dépasse la capacité de la « boîte » qui le stocke (un uint256 en Solidity, soit jusqu’à environ 1,15 × 10⁷⁷), il « wrappe » silencieusement à une valeur minuscule. Dans Truebit, la multiplication du prix de TRU par une quantité énorme a fait passer le coût en ETH à zéro, permettant à l’attaquant d’acheter des millions de TRU gratuitement.
Pourquoi Solidity 0.8 aurait empêché ça ?
Solidity 0.8.0, sorti en décembre 2020, intègre des overflow checks par défaut : toute opération qui dépasserait la capacité du type déclenche un revert automatique de la transaction. Truebit a été déployé en avril 2021 avec Solidity 0.6.10, qui n’a pas cette protection. La librairie SafeMath d’OpenZeppelin offre la même garantie pour les versions antérieures.
L’attaquant peut-il être identifié ?
À la date de cet article, non. Les 8 535 ETH ont été lavés intégralement via Tornado Cash dans les heures suivant l’exploit, ce qui coupe la traçabilité. Une identification reste possible si l’attaquant retire les fonds vers une adresse KYC (exchange régulé) ou commet une erreur opérationnelle, comme pour le hack Ronin Bridge en 2022 attribué à Lazarus.
Les détenteurs de TRU peuvent-ils récupérer quelque chose ?
Très peu. Le token a perdu 99,9 % de sa valeur en quelques heures et la trésorerie ETH a été vidée. Sauf rachat improbable du projet ou plan de compensation décidé par la communauté, les holders perdent l’essentiel de leur exposition. C’est l’un des risques structurels de tenir un token de protocole exposé à un exploit fatal.
Comment vérifier qu’un protocole DeFi est correctement audité ?
Quatre sources fiables : CertiK Skynet (skynet.certik.com), PeckShield (peckshield.com), OpenZeppelin Audits (blog.openzeppelin.com), Trail of Bits (github.com/trailofbits/publications). Un audit doit dater de moins de 12 mois, couvrir la version actuelle des contrats, et être lisible publiquement avec liste des findings et fixes appliqués.
Premier signal d’une année à risque pour la DeFi
Truebit ouvre 2026 avec un exploit modeste à l’échelle des hacks ultérieurs (Drift à 285 M$ le 1er avril, Kelp DAO à 292 M$ le 19 avril), mais il pose le décor. Les protocoles vieillissants, peu audités, sans équipe active, sont devenus la cible naturelle des attaquants. Pour janvier seul, les pertes DeFi cumulées dépassent les 127 M$.
Pour un utilisateur particulier, la leçon n’est pas de fuir la DeFi : c’est de discriminer. Un protocole avec audit récent, code Solidity 0.8+, équipe identifiable et bug bounty généreux a un profil de risque très différent d’un contrat oublié depuis 2021. La taxonomie « tous les protocoles DeFi se valent » a vécu.
Pour aller plus loin sur la sécurisation de vos avoirs, voyez aussi nos guides sur l’utilisation d’un hardware wallet et la compréhension des clés privées.
