TrustedVolumes攻击者归还1122枚ETH,价值约200万美元,同时保留200万美元作为自定赏金
摘要
TrustedVolumes攻击者归还了1122枚ETH,价值约200万美元。该攻击者保留了另外200万美元作为自定的赏金。Blockaid将此次5月攻击追溯至TrustedVolumes的自定义RFQ兑换代理。
根据监控信息,这笔以太坊转账是对5月攻击事件的部分追回。攻击最初从流动性提供商控制的合约中盗取了约587万美元。攻击者保留了与归还金额大致相当的美元价值,并将其标记为赏金。
截至撰稿时,TrustedVolumes尚未正式确认其已接受攻击者的赏金条款。
部分还款仅追回部分被盗资金
TrustedVolumes在5月披露,总损失已达到约670万美元,超过了安全研究人员最初估算的金额。该公司当时表示,被盗资产分布在三个地址中,分别包含约300万美元、300万美元和70万美元。为追回资产,TrustedVolumes提出就漏洞赏金以及所谓的“双方可接受的解决方案”进行讨论。该流动性提供商还邀请攻击者开始建设性沟通,但其声明中并未明确提议的赏金比例。
在被盗代币被整合之前,Blockaid在被盗资产中识别出1291.16枚WETH、206282 USDT、16.939枚WBTC以及127万USDC。PeckShield后来报告称,攻击者兑换了这些代币,并将所得资金集中到约2513枚ETH中。截至撰稿时,归还的1122枚ETH价值约200万美元,而攻击者保留的赏金价值与此相当。合并后的美元价值低于最初损失,因为自5月攻击事件(当时被盗资产被转换为该加密货币)以来,ETH价格已下跌。
自定义TrustedVolumes代理导致安全漏洞
根据此前报道,Blockaid将5月7日的攻击追溯至TrustedVolumes运营的自定义询价(RFQ)兑换代理。据安全公司称,攻击者针对的是该公司的以太坊解析器设置,而非常规的1inch兑换路由。TrustedVolumes使用RFQ系统从其库存中报价代币价格并完成已签名的交易。Verichains发现,一个公共函数缺乏访问控制,允许攻击者将一个地址注册为已批准的订单签名者,并创建代理认为有效的交易。
在同一笔交易中,攻击者指示代理从TrustedVolumes的库存金库中提取WETH、WBTC、USDT和USDC。Verichains还发现,用于授权检查的地址与提供代币的地址不匹配,同时有缺陷的重放保护未能正确记录订单。根据1inch对该事件的描述,虽然受影响的做市商通过1inch提供流动性,但此次攻击并未危及1inch的核心聚合合约或标准用户路由。Blockaid将该钱包与2025年3月的Fusion V1攻击事件关联起来,但报告称5月的攻击利用了TrustedVolumes自定义代理相关的另一个漏洞。
ETH
WBTC

交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注