币圈界报道：

TrustedVolumes因结算系统缺陷遭黑客入侵，损失超590万美元

以太坊生态中的流动性基础设施提供商TrustedVolumes于本周四遭遇针对性网络攻击，导致约590万美元的数字资产被非法转移。被盗资金涵盖ETH、WBTC以及USDT与USDC等主流稳定币，涉事系统为平台自研的订单结算代理机制。

攻击者通过授权注册漏洞实现资金提取

据区块链安全机构Blockaid披露，攻击过程中，黑客从1,291枚WETH、约16.9枚WBTC、近206,000枚USDT及接近127万枚USDC中完成资产窃取。核心漏洞存在于名为RFQ代理的定制化交易结算模块，其设计存在验证逻辑缺陷。

GoPlus Security分析指出，攻击者利用公开调用接口“registerAllowedOrderSigner()”将自身地址注册为合法订单签署方。该功能本意为提升灵活性，但结算流程未对实际提款地址进行有效校验，造成授权主体与资金接收方分离。

Defi Nerd的技术追踪显示，攻击者在解析器合约上执行了四次资金转移操作。此前该合约已赋予代理调用权限，而每次提取后仅返还一个原始USDC单位作为“锚点”。随后，攻击者将获取的WETH兑换为ETH，并全部转入个人控制的钱包地址。

TrustedVolumes已确认事件属实，公布了三个关联被盗资金的钱包地址，并启动协商机制，邀请攻击者主动联系以寻求“漏洞赏金”及可接受的解决方案。

1inch平台未受影响，行业安全压力持续加剧

由于TrustedVolumes在1inch生态中担任流动性提供角色，初期有媒体报道误认为1inch协议本身遭到入侵。对此，1inch团队与Blockaid联合声明强调，其协议架构完好无损，用户资产未受任何影响。该机构独立运营，服务范围覆盖多个去中心化交易平台。

此次事件发生在加密市场安全形势严峻的背景下。四月内已有多个项目接连遭受攻击，累计损失逾6.5亿美元。其中KelpDAO和Drift Protocol分别蒙受2.92亿与2.852亿美元重创，成为当月最严重案例。

相较之下，本次590万美元的损失虽属中小规模，但攻击路径高度复杂：涉及辅助合约部署、滥用自助注册机制，并精准利用做市商与资金源地址不一致的逻辑断层。这一特征表明攻击者具备专业级技术能力，远超一般配置失误或代码缺陷所致的事故。