资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
流动性提供商TrustedVolumes遭攻击,损失约670万美元
多家DeFi协议采用的流动性提供商TrustedVolumes遭遇漏洞利用,截至目前已损失约670万美元资金。
区块链分析公司Blockaid的漏洞检测系统识别出受害合约为TrustedVolumes在以太坊上的解析器合约。攻击者提取了约1291枚WETH、206282枚USDT、16.93枚WBTC以及126万枚USDC。
该公司指出,此次攻击者与2025年3月1inch Fusion V1事件的操作者系同一团伙,但本次利用了TrustedVolumes控制的定制RFQ交换代理中的不同漏洞。
RFQ交换代理是处理做市商与交易者之间报价和代币交换的合约。
TrustedVolumes已确认遭遇攻击,并公布了三个持有被盗资金的地址,金额分别约为300万美元、300万美元和70万美元。该公司表示"愿意就漏洞赏金和双方可接受的解决方案进行建设性沟通"。
加密货币安全公司Cyvers的安全运营高级负责人哈坎·乌纳尔透露,根本原因在于"无需许可的签名者注册、失效的重放保护机制以及未经验证的转账来源字段"的结合漏洞。
他补充说明,这些缺陷使攻击者能够冒充可信签名者,在未经有效授权的情况下转移受害者资金。被盗资金在兑换为ETH前,流经了高风险免KYC交易所ChangeNow。
"实际损失可能更为严重,"乌纳尔指出,"由于重放保护机制失效,攻击者本可反复清空更多已授权的账户。"
相关协议澄清关联
在相关报道将该漏洞与平台直接关联后,DeFi聚合器1inch作出澄清,强调这是对协议本身的攻击。
"我们可以确认1inch及旗下所有协议均未涉及此次事件,"1inch在推文中表示,"对1inch系统、基础设施及用户资金未造成任何影响。"
1inch发言人进一步说明:"从审查和监控的角度,我们正与安全合作伙伴共同调查漏洞发生的具体细节,并将把相关发现纳入持续的安全和集成流程中。"
该发言人补充道,当某个提供商"不可用或遭破坏时,其他提供商将继续无中断地为用户服务",这种"内置冗余"的核心设计原则"在本案例中完全按预期运行"。
1inch联合创始人谢尔盖·孔茨在推文中表示:"虽然1inch确实使用TrustedVolumes作为解析器,但我们只是众多使用者之一。当前的事件描述最终造成了混淆和损害。"
攻击模式引发行业警惕
加密货币资产追回平台CryptoCare创始人兼首席执行官尼克·哈里斯指出:"TrustedVolumes事件的突出之处在于,同一攻击者在相隔数月间针对不同合约实施了两次攻击。"他将攻击者描述为"有耐心、目标明确的操纵者",而非机会型黑客。他警告称,从一次攻击中幸存并不必然消除风险,反而可能"开启新的风险窗口"。
TrustedVolumes漏洞事件发生前,DeFi领域已连续遭受重创:朝鲜黑客从Drift Protocol盗取2.85亿美元,Kelp DAO在攻击中损失2.93亿美元(该机构将原因归咎于LayerZero基础设施遭破坏)。
Kelp黑客事件现已波及美国联邦法院,Aave正在努力解冻Arbitrum上7100万美元被冻结的用户资金。
