资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
TrustedVolumes遭遇攻击,损失约590万美元
以太坊区块链流动性提供商TrustedVolumes于本周四遭受黑客攻击,损失资金约590万美元。攻击者利用该平台定制交易系统中的漏洞成功提取资金,涉及资产包括ETH、WBTC以及USDT和USDC稳定币。
事件经过
根据区块链安全公司Blockaid在攻击发生时获取的数据,被盗资产包括1,291枚WETH、约16.9枚WBTC、约206,000枚USDT及近127万枚USDC。此次攻击利用了TrustedVolumes定制订单结算系统(称为RFQ代理)的设计缺陷。
GoPlus Security的分析报告显示,攻击者通过公开可访问的函数“registerAllowedOrderSigner()”将自身注册为授权“订单签署者”。该函数允许任何人将自身地址设为其控制交易的有效签署者。尽管该功能通常无害,但结算函数存在独立问题:其验证授权的地址与实际提取资金的地址不一致。
安全研究员Defi Nerd的技术报告详细说明,攻击者利用这一漏洞对TrustedVolumes解析器合约执行了四次资金转移交易。该合约此前已授权代理移动其代币。报告指出,代理每次从解析器提取资产后仅返回单个原始USDC单位。随后攻击者将被盗WETH转换为ETH,并将全部资产转入个人钱包。
TrustedVolumes已确认漏洞事件,并公布三个持有被盗资金的钱包地址,呼吁攻击者联系以协商“漏洞赏金与双方可接受的解决方案”。
1inch澄清关联性与行业背景
由于TrustedVolumes在1inch平台上承担流动性提供商和做市商职能,部分早期报道将此事件描述为1inch遭攻击。但1inch与Blockaid均已发表声明澄清,其协议本身未受损害,平台用户资金未受影响。TrustedVolumes独立运营于多个平台,并非仅服务于1inch。
此次攻击发生在DeFi生态特别困难的时期。此前四月已发生多起安全事件,不同项目共损失价值超6.5亿美元的加密货币,其中KelpDAO与Drift Protocol分别损失2.92亿和2.852亿美元,受影响最为严重。
相较之下,本次590万美元的损失规模较小,但攻击手法具有较高技术复杂性:攻击者部署辅助合约、滥用自助式签署者注册功能,并在单次交易中利用做市商与资金源地址不匹配的漏洞。这使得该事件区别于普通的程序错误或配置失误。
