摘要:流动性服务商TrustedVolumes遭遇严重安全漏洞,导致约670万美元资产被窃。攻击者利用多重缺陷实施跨合约资金转移,相关协议1inch紧急澄清未受影响,行业警示同一团伙接连作案风险。
币圈界报道:
TrustedVolumes合约遭多层漏洞攻击,超670万美元资产失窃
以太坊生态中多家去中心化金融协议依赖的流动性提供方TrustedVolumes遭遇针对性攻击,截至目前已确认损失金额约为670万美元。
攻击者复用旧手法,新漏洞实现资金提取
据区块链分析机构Blockaid披露,攻击目标为TrustedVolumes部署在以太坊上的解析器合约。攻击者成功提取了约1291枚WETH、206282枚USDT、16.93枚WBTC以及126万枚USDC。
调查发现,该团伙与2025年3月针对1inch Fusion V1的攻击者属同一实体,但本次利用的是其控制的定制化RFQ交换代理中的新型漏洞。
RFQ代理作为连接做市商与交易者的报价与代币兑换核心组件,其安全性直接影响链上流动性稳定性。
资金流向追踪与企业回应
TrustedVolumes已正式确认事件发生,并公开三个接收被盗资产的钱包地址,对应金额分别为约300万美元、300万美元和70万美元。
公司表示愿就漏洞赏金及可行解决方案展开建设性协商,以推动后续修复与责任界定。
加密安全专家哈坎·乌纳尔指出,根本成因在于“无需许可的签名者注册机制”、“失效的重放保护”以及“未验证的转账来源字段”三者叠加所致。
这些缺陷允许攻击者伪造可信身份,在无有效授权情况下完成资金转移。被盗资产在转换为ETH前,曾通过高风险免KYC平台ChangeNow进行流转。
乌纳尔强调:“实际损失可能远高于当前数据,因重放保护机制失效,攻击者本可重复清空多个已授权账户。”
1inch澄清关联风险,强调系统冗余机制生效
在部分媒体报道将事件归咎于1inch平台后,该聚合器迅速发布声明,明确否认自身涉及此次攻击。
“我们确认1inch及其所有子协议均未受到直接侵害,用户资产与系统基础设施保持完整。”1inch在社交媒体上表示。
该公司进一步说明,正联合安全伙伴深入审查漏洞细节,并将把调查结果整合进未来的安全审查与集成流程。
发言人补充称,当某一服务提供商出现异常时,其他备用方案仍能持续为用户提供服务,这种“内置冗余”设计在此次事件中得到充分验证。
1inch联合创始人谢尔盖·孔茨亦表态:“尽管我们使用TrustedVolumes作为解析器之一,但其并非唯一选择。当前描述易引发误解,对多方造成不必要困扰。”
行业警觉:连续作案模式暴露长期威胁
加密资产追回平台CryptoCare创始人尼克·哈里斯指出,此次事件最值得关注的是同一攻击者在数月内对不同合约实施两次精准打击。
他将其定义为“具备高度策略性与耐心的操纵行为”,而非随机性网络钓鱼或短期套利攻击。
哈里斯警告:“一次幸存不代表安全终结,反而可能成为更大规模攻击的前兆。”
此前,朝鲜黑客组织已从Drift Protocol盗走2.85亿美元,而Kelp DAO则在另一起事件中损失2.93亿美元——后者将原因归结于LayerZero底层协议被攻破。
目前,Kelp事件已进入美国联邦司法程序,而Aave正积极寻求解冻位于Arbitrum网络上价值7100万美元的冻结资金。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。