以太坊生态中关键的流动性提供方TrustedVolumes遭遇针对性攻击,目前已确认损失金额接近670万美元。此次事件源于其解析器合约中的深层漏洞,被攻击者成功提取包括1291枚WETH、206282枚USDT、16.93枚WBTC及126万枚USDC在内的多种代币。
据区块链分析机构Blockaid披露,该攻击行为与2025年3月针对1inch Fusion V1的攻击为同一犯罪实体所为,但本次利用的是TrustedVolumes自研RFQ交换代理中的新型缺陷。该合约负责在做市商与交易方之间执行报价与代币兑换,是链上流动性的重要枢纽。
加密安全专家哈坎·乌纳尔指出,根本原因在于“无许可的签名者注册机制”、“失效的重放保护”以及“未验证的转账来源字段”三者叠加形成的致命组合。这一设计缺陷允许攻击者伪装成受信任节点,在未获授权情况下完成资金调拨。被盗资产在转换为ETH前曾通过免身份验证的交易所ChangeNow进行流转,增加追踪难度。
乌纳尔强调:“由于重放防护机制崩溃,攻击者本可重复执行清空操作,实际损失远超当前统计。”
面对市场误传,DeFi聚合平台1inch迅速发布声明,明确表示自身及其所有子协议均未遭受入侵,用户资产安全无虞。公司强调,尽管1inch采用TrustedVolumes作为解析服务之一,但其架构具备高度冗余性,当某一供应商中断时,其他服务商仍可无缝接管服务。
1inch发言人补充道:“我们正与安全团队协同调查具体攻击路径,并将把发现纳入未来的安全审查流程。此次事件再次验证了我们‘去中心化供应’设计的有效性。”
CryptoCare创始人尼克·哈里斯指出,同一团伙在数月内对不同目标实施精准打击,表明其具备高度组织性与持久作战能力。他警告称,此类“有计划、有耐心”的攻击者不会因一次失败而退场,反而可能借机扩大攻击范围。
此事件发生前,DeFi领域已接连遭遇重大冲击:朝鲜黑客从Drift Protocol盗走2.85亿美元,Kelp DAO因LayerZero基础设施问题损失2.93亿美元。后者案件已进入美国联邦法院程序,而Aave则正在推进Arbitrum上7100万美元冻结资金的解冻工作。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.