以太坊生态中的流动性服务商TrustedVolumes在本周四遭遇网络攻击,造成约590万美元价值的数字资产损失。攻击者通过其自研交易结算系统中的深层漏洞,成功提取包括ETH、WBTC及主流稳定币USDT和USDC在内的多种资产。
区块链安全机构Blockaid披露的实时数据表明,被盗资产包含1,291枚WETH、约16.9枚WBTC、206,000枚USDT以及近127万枚USDC。此次攻击的核心在于TrustedVolumes所使用的RFQ代理合约中存在结构性缺陷,即授权地址与实际提款地址之间缺乏一致性校验。
GoPlus Security的研究指出,攻击者借助公开接口函数“registerAllowedOrderSigner()”将自身地址注册为合法订单签署方。该功能本意用于提升灵活性,但在结算流程中未对执行者身份进行二次确认,形成可被滥用的跳板。
Defi Nerd的技术分析揭示,攻击者共发起四次跨合约资金调拨操作,均基于已授权的解析器合约。每次交易仅返还一个原始单位的USDC作为掩护,从而规避监控机制。随后,被盗的WETH被转换为ETH,并全部转入私人钱包账户。
TrustedVolumes已在官方渠道确认事件属实,公布了三个涉事资金接收地址,并向攻击者发出声明,提议通过“漏洞赏金协商”方式寻求非对抗性解决方案。
由于TrustedVolumes曾作为1inch平台的重要做市商之一,部分媒体误报为1inch遭受攻击。然而,1inch团队与Blockaid联合发布声明强调,其协议核心未受影响,用户资产处于安全状态。该平台独立于多个去中心化金融网络运行,非单一依赖关系。
本次事件发生于去中心化金融领域尤为脆弱的阶段。今年4月已有多个项目接连爆发安全事故,累计损失超过6.5亿美元。其中KelpDAO与Drift Protocol分别遭受2.92亿与2.852亿美元重创,成为最严重的两起案例。
相较之下,本次590万美元的损失金额虽属中小规模,但攻击手段高度复杂:涉及辅助合约部署、自动注册权限滥用,以及利用做市商与资金源地址分离的系统性疏漏。这一特性使其区别于常规配置错误或简单代码漏洞,反映出新型高级持续性威胁(APT)在DeFi领域的渗透趋势。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.