原文:DeFi Platform TrustedVolumes Hit by $6.7M Exploit
将 Decrypt 添加为您的首选来源,以便在 Google 上查看我们的更多故事。
简而言之,一次黑客攻击从 TrustedVolumes 中流失了 670 万美元,TrustedVolumes 是多个 DeFi 协议使用的流动性解析器。
1inch 否认与该事件有任何接触,称其“系统、基础设施或用户资金”未受到影响。
专家指出了签名者和重放的缺陷,警告称损失可能会更大。
TrustedVolumes 是多个 DeFi 协议使用的流动性提供商,受到漏洞攻击,迄今为止已损失约 670 万美元的资金。
区块链分析公司 Blockaid 的漏洞检测系统将受害者合约识别为以太坊上 TrustedVolumes 的解析器,攻击者提取了大约 1,291 WETH、206,282 USDT、16.93 WBTC 和 126 万 USDC。
该公司将攻击者标记为 2025 年 3 月 1inch Fusion V1 事件背后的同一运营商,利用了不同的漏洞,这次是在 TrustedVolumes 控制的自定义 RFQ 交换代理中。
RFQ(报价请求)掉期代理是一种处理做市商和交易者之间的报价和代币掉期的合约。
TrustedVolumes 证实了这一违规行为,并公布了三个钱包地址,其中存放着被盗资金,分别约为 300 万美元、300 万美元和 70 万美元,并表示“愿意就错误赏金和双方都能接受的解决方案进行建设性沟通”。
加密安全公司 Cyvers 的高级安全运营负责人 Hakan Unal 告诉 Decrypt,根本原因是“未经许可的签名者注册、损坏的重放保护和未经验证的传输源字段”的组合。
他补充说,这些缺陷让攻击者充当受信任的签名者,在未经有效授权的情况下耗尽受害者的资金,资金通过高风险的无 KYC 交易所 ChangeNow,然后再转换为 ETH。
“损失可能会更大,”乌纳尔说。 “由于重放保护不起作用,攻击者可能会重复耗尽其他已批准的帐户。”
解密