TrustedVolumes，一个被多个 DeFi 协议使用的流动性提供商，遭到了一次利用攻击，至今已经耗尽了约 670 万美元的资金。

区块链分析公司 Blockaid 的漏洞检测系统 确认 受害合约为 TrustedVolumes 的解析器，位于 以太坊 上，攻击者提取了约 1,291 WETH、206,282 USDT、16.93 WBTC 和 126 万 USDC。

该公司将这次攻击者标记为与 2025 年 3 月的 1inch Fusion V1 事件 相同的操作者，这次利用了不同的漏洞，这次是通过 TrustedVolumes 控制的自定义 RFQ 兑换代理。

RFQ，即报价请求，兑换代理是一个处理市场制造商与交易者之间的价格报价和代币交换的合约。

TrustedVolumes 确认 了此次违规行为，发布了三个 钱包 地址，这些地址持有被盗资金，分别约为 300 万美元、300 万美元和 70 万美元，并表示它“愿意就漏洞赏金和双方可接受的解决方案进行建设性沟通。”

加密安全公司 Cyvers 的高级安全运营负责人 Hakan Unal 告诉 Decrypt，根本原因是 “无权限的签名者注册、损坏的重放保护和未经验证的转账源字段”的组合。

这些缺陷使得攻击者能够充当可信签名者，在没有有效授权的情况下耗尽受害者的资金，并且资金通过高风险的不需 KYC 的交易所 ChangeNow 进行了处理，然后再兑换成 ETH，他补充道。

“损失可能更大，” Unal 说。“由于重放保护失效，攻击者可能会反复耗尽其他已批准的账户。”

Decrypt 已联系 TrustedVolumes 请求评论。

1inch 与事件保持距离

DeFi 聚合器 1inch 在报道将该平台直接与此次漏洞关联之后进行了反击，认为这是一场针对协议本身的攻击。

“我们可以确认，既没有 1inch 也没有任何 1inch 协议卷入其中，” 1inch 推文 说。“1inch 的系统、基础设施或用户资金没有受到影响。”

“从审核和监控的角度来看，我们正在与我们的安全合作伙伴一起工作，以了解此次攻击发生的具体情况，并将把任何相关发现纳入我们持续的安全和整合流程中，” 1inch 的发言人告诉 Decrypt。

如果某个提供者“不可用或已受损，其他提供者仍继续为用户提供服务而不受干扰，” 这种“内置冗余”是一个核心设计原则，并且“在此情况下完全发挥了预期功能，”发言人补充道。

“虽然确实 1inch 使用 TrustedVolumes 作为解析器，但我们只是众多中的一个。这个故事的 framing 最终令人困惑和有害，” 1inch 联合创始人 Sergej Kunz 推文 说。



对 DeFi 的攻击

“TrustedVolumes 事件令人惊讶的是同一攻击者在几个月内针对不同合约进行两次攻击，” 加密资产恢复平台 CryptoCare 的创始人兼首席执行官 Nick Harris 告诉 Decrypt，将加害者描述为“耐心、具有针对性的操作者”，而非机会主义黑客。他警告说，幸存于一次攻击并不一定能够消除风险，反而可能“打开一个新的风险。”

TrustedVolumes 的攻击发生在 DeFi 处于严峻的时期，朝鲜黑客从 Drift Protocol 中耗尽了 2.85 亿美元，而 Kelp DAO 在一次攻击中损失了 2.93 亿美元，其责任被 归咎于 受损的 LayerZero 基础设施。

Kelp 黑客事件目前已经进入美国联邦法院，Aave 正在 争取解冻 7100 万美元 的用户资金，后者在 Arbitrum 上被冻结。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。