• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

TrustedVolumes攻击者归还200万美元,自留200万美元作为赏金

2026-07-18 17:06:47
收藏

TrustedVolumes攻击者归还1122枚ETH,价值约200万美元,同时保留200万美元作为自定赏金

摘要

TrustedVolumes攻击者归还了1122枚ETH,价值约200万美元。该攻击者保留了另外200万美元作为自定的赏金。Blockaid将此次5月攻击追溯至TrustedVolumes的自定义RFQ兑换代理。

根据监控信息,这笔以太坊转账是对5月攻击事件的部分追回。攻击最初从流动性提供商控制的合约中盗取了约587万美元。攻击者保留了与归还金额大致相当的美元价值,并将其标记为赏金。

截至撰稿时,TrustedVolumes尚未正式确认其已接受攻击者的赏金条款。

部分还款仅追回部分被盗资金

TrustedVolumes在5月披露,总损失已达到约670万美元,超过了安全研究人员最初估算的金额。该公司当时表示,被盗资产分布在三个地址中,分别包含约300万美元、300万美元和70万美元。为追回资产,TrustedVolumes提出就漏洞赏金以及所谓的“双方可接受的解决方案”进行讨论。该流动性提供商还邀请攻击者开始建设性沟通,但其声明中并未明确提议的赏金比例。

在被盗代币被整合之前,Blockaid在被盗资产中识别出1291.16枚WETH、206282 USDT、16.939枚WBTC以及127万USDC。PeckShield后来报告称,攻击者兑换了这些代币,并将所得资金集中到约2513枚ETH中。截至撰稿时,归还的1122枚ETH价值约200万美元,而攻击者保留的赏金价值与此相当。合并后的美元价值低于最初损失,因为自5月攻击事件(当时被盗资产被转换为该加密货币)以来,ETH价格已下跌。

自定义TrustedVolumes代理导致安全漏洞

根据此前报道,Blockaid将5月7日的攻击追溯至TrustedVolumes运营的自定义询价(RFQ)兑换代理。据安全公司称,攻击者针对的是该公司的以太坊解析器设置,而非常规的1inch兑换路由。TrustedVolumes使用RFQ系统从其库存中报价代币价格并完成已签名的交易。Verichains发现,一个公共函数缺乏访问控制,允许攻击者将一个地址注册为已批准的订单签名者,并创建代理认为有效的交易。

在同一笔交易中,攻击者指示代理从TrustedVolumes的库存金库中提取WETH、WBTC、USDT和USDC。Verichains还发现,用于授权检查的地址与提供代币的地址不匹配,同时有缺陷的重放保护未能正确记录订单。根据1inch对该事件的描述,虽然受影响的做市商通过1inch提供流动性,但此次攻击并未危及1inch的核心聚合合约或标准用户路由。Blockaid将该钱包与2025年3月的Fusion V1攻击事件关联起来,但报告称5月的攻击利用了TrustedVolumes自定义代理相关的另一个漏洞。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻
自选
我的自选
查看全部
市值 价格 24h%