另一宗數百萬美元的攻擊襲擊了去中心化金融領域,週四晚間,流動性提供者及掛單商 TrustedVolumes 因智能合約遭利用而受損。
信譽成交量遭 $6.7M 黑客攻擊
週四,DeFi 平台 TrustedVolumes——作為 1inch 的流動性提供者和掛單者——遭受新的攻擊,導致項目中的多種資產被盜取數百萬美元。
根據區塊鏈安全公司 PeckShield 和 Blockaid 的報告,攻擊者利用協議核心簽名驗證邏輯中的漏洞,繞過授權檢查並偽造交易訂單,竊取了約 600 萬美元的包裝 Ethereum(WETH)、包裝比特幣(WBTC)、USDT 和 USDT。
值得注意的是,駭客迅速在去中心化交易所(DEX)上將所有資產兌換為 2.513 ETH,並分散至三個地址。在 X 帖文中,TrustedVolumes 確認了此事件,分享了目前持有被盜資金的地址,並將估計損失更新至約 670 萬美元。
該漏洞是受 TrustedVolumes 控制的自訂 RFQ(報價請求)交換代理。加密研究員 Humphrey explained 表示:「自訂 RFQ 交換代理合約包含一個用於管理『授權訂單簽署者』白名單的功能。此類白名單機制在去中心化金融中很常見——只有白名單上的地址才能代表協議發出有效的交易指令。」
然而,他指出:「此註冊功能是公開的,且沒有任何權限修飾符。」因此,攻擊者利用合約中的這個公開功能,將自己註冊為授權訂單簽署人。
研究人員繼續表示:「由於任何外部地址都可以調用此函數,這等同於讓每個人擁有複製保險箱鑰匙的能力。」
同一駭客,不同攻擊
線上報告顯示,該攻擊者與2025年3月針對$5百萬1inch Fusion V1結算合約的攻擊者為同一人,而TrustedVolumes為主要受害者。
Humprey 指出,雖然同一個人發起了這兩次 攻擊,但它們在技術層面上有顯著差異。根據該帖子,2025 年的漏洞涉及對 1inch Fusion V1 設 Settlement 合約的低階 EVM 記憶體操作。
當時,駭客「主動發起鏈上談判」,提出以白帽獎金歸還被盜資產。該 DeFi 平台接納了此提案,大部分資金已安全返還。
目前,TrustedVolumes 認可其「願意就漏洞賞金和雙方均可接受的解決方案進行建設性溝通」。
去中心化交易所聚合器 1inch 澄清 表示其系統、基礎設施和用戶資金未受影響,並解釋道:「TrustedVolumes 作為流動性提供者獨立運作,被業界多個協議使用,且並非 1inch 專屬。」
DeFi 攻擊出現歷史性激增這起攻擊繼上個月對 DeFi 領域造成衝擊的一連串攻擊之後發生。上周,PeckShield 表示,加密貨幣領域在四月發生了 40 起重大駭客事件,導致約 $647 百萬資金被盜。
此數字代表與三月的 5220 萬美元相比,月環比增長了 1,140%。同時,也代表相較於 2026 年第一季 DeFi 領域損失的 1.65 億美元,增長了 292%。
值得注意的是,本月最嚴重的兩起事件——Drift Protocol的 2.85 億美元和KelpDAO的 2.9 億美元遭駭事件,佔上月資金損失總額的 91%。此外,這兩起事件目前已躋身 2021 年以來十大駭客事件之列。
