TrustedVolumes遭遇严重安全漏洞,资金被恶意提取

以太坊生态中的流动性服务商TrustedVolumes在本周四遭遇黑客攻击,导致约590万美元资产被盗。攻击目标涵盖ETH、WBTC及USDT、USDC等主流稳定币。据区块链分析机构披露,被盗资产包括1,291枚WETH、约16.9枚WBTC、206,000枚USDT以及近127万枚USDC。

漏洞机制解析:授权注册与验证不一致

攻击者利用TrustedVolumes自研的RFQ代理系统中存在的逻辑缺陷,通过公开函数registerAllowedOrderSigner()将自身地址注册为合法订单签署者。该功能本意允许灵活配置,但结算流程中未对实际提款地址进行有效校验,造成授权地址与资金提取地址可分离。 GoPlus Security指出,此漏洞使得攻击者可在不触发异常的情况下完成多笔资金转移。Defi Nerd的技术报告进一步揭示,攻击者部署辅助合约,在四次连续交易中从解析器合约中提取资产,每次仅返还一个原始USDC单位以规避检测,随后将所得WETH转换为ETH并转入个人钱包。

平台回应与追偿尝试

TrustedVolumes已确认事件属实,并公布了三个持有被盗资金的钱包地址。官方呼吁攻击者主动联系,协商“漏洞赏金”及相关解决方案,表明其仍保留非对抗性处理意愿。

1inch声明澄清,行业安全压力持续上升

尽管TrustedVolumes曾作为1inch平台的流动性提供方,但1inch与Blockaid均明确表示协议本身未受侵扰,用户资金安全无虞。该事件系独立运营实体的安全事故,非1inch主网受损。 当前DeFi领域正面临严峻安全挑战。今年四月已有多个项目遭受攻击,累计损失超6.5亿美元。其中KelpDAO与Drift Protocol分别损失2.92亿与2.852亿美元,成为最严重的两起事件。相较之下,本次590万美元的损失虽较小,但攻击路径高度复杂,涉及合约部署、权限滥用与状态绕过,反映出高级别攻击者的策略能力正在提升。