摘要:Trusted Volumes协议因签名验证逻辑缺陷遭黑客攻击,导致逾590万美元以太坊、WBTC及稳定币被窃。调查揭示攻击者迅速清洗资金,凸显去中心化交易系统中授权机制的重大风险。
币圈界报道:
Trusted Volumes协议遭恶意利用,多类数字资产遭大规模盗取
近期,去中心化金融领域再度曝出重大安全事件,黑客利用Trusted Volumes平台在1inch生态中的签名验证机制漏洞,成功提取价值约590万美元的多种数字资产。该攻击直接针对协议核心合约中的授权校验环节,造成多个关联钱包资金流失。
攻击路径揭露:基于询价模式的授权机制成突破口
区块链安全机构SlowMist披露,此次漏洞源于fillOrder函数中对signer身份的验证逻辑错误。攻击者通过伪造调用者身份,绕过关键的授权检查,实现对未授权交易指令的执行。这一缺陷使得原本需用户主动签署的交易可被恶意构造,从而完成非法资金转移。
资产清洗迅速展开,链上追踪显示异常流转
数据显示,攻击者在完成盗取后立即启动资产洗白流程。其中包括约1,291.16枚以太坊(价值超300万美元)、16.94枚封装比特币(价值约140万美元),以及合计超过140万美元的USDC与USDT。资金在短时间内经由多个去中心化交易所进行兑换与跨链转移,大幅增加追查难度。
深层隐患浮现:询价协议的安全边界亟待重构
与传统流动性池模式不同,Trusted Volumes采用点对点询价机制,依赖交易双方提前签署授权。这使签名验证环节成为整个系统的安全基石。然而,本次事件暴露了该架构在编码严谨性上的薄弱环节——一个微小逻辑疏漏即可引发系统性风险,反映出当前去中心化交易平台在信任最小化设计上的结构性挑战。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。