WBTC可信做市商遭遇安全漏洞,损失近六百万美元
据区块链安全公司Blockaid披露,与1inch网络相连的流动性供应商及做市商TrustedVolumes遭受持续攻击,其以太坊解析器合约损失约587万美元。
Blockaid表示,在此次攻击事件中,TrustedVolumes的以太坊解析器合约损失近600万美元。攻击者与2025年3月发生的早期1inch Fusion V1漏洞事件存在关联。该案例给DeFi做市商带来压力,需重新审视授权机制及自定义代理合约的风险。
被盗资产包括1291.16枚WETH、206282枚USDT、16.939枚WBTC以及1268771枚USDC。此次攻击影响的是由TrustedVolumes控制的自定义RFQ交换代理合约,而非标准的用户交换路径。
Blockaid指出,攻击者与2025年3月利用1inch Fusion V1漏洞的操纵者为同一实体,但本次攻击利用了与TrustedVolumes自定义RFQ交换代理相关的不同安全漏洞。2025年3月的事件同样影响了使用1inch Fusion V1的第三方解析器。据BlockSec后续分析,攻击者通过滥用不安全的调用数据处理及解析器信任假设,造成超过500万美元损失。
据币安新闻引用的CertiK警报,攻击者通过公共函数注册为“允许订单签名者”,随后执行交易指令,从受害地址转移预先授权的资金。CertiK建议用户撤销与受影响合约相关的授权许可。
DeFi安全压力持续攀升
TrustedVolumes攻击事件发生前,DeFi安全在四月已历经艰难时期。根据DefiLlama数据,仅在四月份前18天,各类协议损失金额已超过6.06亿美元。
其中两起大型案件主导了损失总额:Drift Protocol损失约2.85亿美元,Kelp DAO损失约2.92亿美元。这两起攻击事件构成了当时统计的四月大部分损失。
另据后续报道,Wasabi Protocol在以太坊、Base、Berachain和Blast链上损失超500万美元。安全公司指出,攻击者通过控制管理员密钥升级合约并转移资金。
自定义权限仍是薄弱环节
TrustedVolumes事件使市场再度关注解析器合约、授权系统及自定义做市工具。这些系统通常需要特殊权限以实现资金快速转移和交易执行。
当合约出现漏洞后权限仍保持激活状态时,此类架构可能产生风险。若攻击者找到途径伪装成可信签名者或通过已授权合约转移资金,损失规模可能进一步扩大。
现有报告显示,此次事件直接影响范围集中于TrustedVolumes自有的解析器及RFQ代理配置,并未表明所有1inch用户均受直接波及。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注