TrustedVolumes遭遇攻击
TrustedVolumes是一家与1inch相关的流动性提供商和市场做市商,最近遭遇了一次持续的攻击,导致其以太坊解析器合约损失约587万美元,具体数据来自区块链安全公司Blockaid。
被盗资产详情
被盗资产包括:
- 1,291.16 WETH
- 206,282 USDT
- 16.939 WBTC
- 1,268,771 USDC
此次攻击影响了TrustedVolumes控制的自定义RFQ交换代理,而非标准用户交换路径。
攻击者与漏洞事件的关联
Blockaid表示,攻击者与2025年3月1inch Fusion V1漏洞事件的操作者相同。
然而,该公司指出,最新事件利用了与TrustedVolumes自定义RFQ交换代理相关的不同漏洞。2025年3月的事件同样影响了使用1inch Fusion V1的第三方解析器。
损失与安全警告
BlockSec随后表示,该漏洞造成超过500万美元的损失,攻击者利用了不安全的调用数据处理和解析器信任假设。CertiK Alert在Binance News中提到,攻击者利用公共函数注册为AllowedOrderSigner,随后执行了将预授权资金从受害者地址转移的订单。
CertiK建议用户撤销与受影响合约相关的授权。
DeFi安全形势
TrustedVolumes的攻击发生在DeFi安全形势严峻的四月。Crypto.news报道,根据DefiLlama的数据,四月前18天,协议损失超过6.06亿美元。这个总额主要由两个大案件主导:
- Drift Protocol损失约2.85亿美元
- Kelp DAO损失约2.92亿美元
Crypto.news表示,这两个漏洞事件占据了当时跟踪的四月损失的大部分。
其他相关事件
另据Crypto.news报道,Wasabi Protocol在以太坊、Base、Berachain和Blast上损失超过500万美元。安全公司表示,受损的管理员密钥使攻击者能够升级合约并提取资金。
对解析器合约的关注
TrustedVolumes事件再次引起了人们对解析器合约、授权系统和自定义市场做市工具的关注。这些系统通常需要特殊权限来快速移动资金和完成交易。当合约变得脆弱后,权限仍然保持激活状态时,这种结构可能会带来风险。
当攻击者找到方法充当受信任的签名者或通过已批准的合约转移资金时,损失也可能会更大。该事件并未表明所有1inch用户都受到直接影响。现有报告指出,受影响的区域是TrustedVolumes自身的解析器和RFQ代理设置。
