资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
黑客利用Trusted Volumes签名验证漏洞盗取数百万资金。SlowMist揭露攻击者迅速清洗被盗的以太坊、比特币及稳定币资产。Trusted Volumes遭攻击事件再次引发人们对去中心化金融安全标准的担忧。
继攻击者利用流动性提供商Trusted Volumes(在1inch生态系统内运营)的漏洞后,去中心化金融行业再次遭遇安全事件。在数百万美元从协议关联钱包消失后,区块链调查人员迅速侦测到异常资金流动。
据区块链安全公司SlowMist分析,此次漏洞导致黑客盗取了价值约590万美元的以太坊(ETH)、封装比特币(WBTC)、USD Coin(USDC)和Tether(USDT)。报告称,攻击直接针对协议签名验证系统的缺陷。
此外,该事件加剧了人们对严重依赖智能合约授权和密码验证的去中心化交易平台的担忧。由于Trusted Volumes采用询价模式运行,交易者和流动性提供商必须在执行前对交易签名。因此,任何涉及签名验证的漏洞都会构成严重安全威胁。
SlowMist调查显示,攻击者盗取了约1,291枚以太坊,价值超300万美元。黑客同时还盗取了价值约140万美元的16.94枚WBTC,以及总值超140万美元的稳定币。
SlowMist TI 警报
损失:约1,291.16 ETH + 约1,268,771 USDC + 约206,282 USDT + 约16.94 WBTC@trustedvolumes
根源:RFQ实现合约的fillOrder函数(选择器0x4112e1c2)中,签名验证检查_allowedSigners[msg.sender][signer]时使用了调用者(接受方)…pic.twitter.com/GbZJPrZyLc— SlowMist (@SlowMist_Team)2026年5月7日
调查人员指出,漏洞源于协议fillOrder函数内部的逻辑缺陷。该缺陷使攻击者能绕过授权检查,在未获得用户合法授权的情况下伪造交易指令。除暴露Trusted Volumes的内部缺陷外,此次事件也凸显了基于询价的去中心化交易系统存在的更广泛风险。与Uniswap等平台不同,询价协议依赖做市方与接受方的直接协议而非流动性池。
因此,安全的签名验证对防止未授权交易执行至关重要。然而,核心合约逻辑中的单一编码错误,就足以在数分钟内导致数百万用户关联资产受损。根据SlowMist分享的链上数据,攻击者在完成盗取后立即开始清洗被盗资产。记录显示黑客在转移资金后,迅速通过去中心化交易所转移稳定币和封装比特币。
与此同时,最新攻击事件给去中心化金融开发者带来更大压力——该领域已因智能合约漏洞反复出现而备受质疑。今年行业内多个协议都遭遇类似攻击,尤其是处理流动性路由和点对点结算系统的平台。
Trusted Volumes攻击事件再次加剧了人们对去中心化金融基础设施中智能合约安全性的持续担忧。尽管去中心化金融平台在全球持续扩张,但涉及授权逻辑的漏洞仍是该领域最具破坏性的运营风险之一。
