DeFi 协议 Trusted Volumes 遭攻击损失 590 万美元

据区块链安全公司 PeckShield 称，去中心化金融协议 Trusted Volumes 在攻击者利用其智能合约中的关键漏洞后，损失了约 590 万美元的数字资产。

PeckShield 的一位发言人在事后报告中表示：“我们的分析显示，此次攻击是由协议 fillOrder 函数内部的逻辑错误引起的，这使得攻击者能够绕过签名验证。”区块链安全公司慢雾（SlowMist）也确认了此次攻击的细节。

从 1inch 网络流动性提供者处流出的总价值包括 1,291 枚 ETH（302 万美元）、16.94 枚 WBTC（137 万美元）、126 万枚 USDC 和 20.6 万枚 USDT。链上数据显示，攻击者立即开始洗钱，通过去中心化交易所将稳定币和 WBTC 兑换为 2,513 枚 ETH。

这一事件突显了询价（RFQ）DeFi 协议固有的安全风险，此类协议通常需要广泛的用户权限来移动资金。虽然此次损失金额不具系统性威胁，但它打击了用户信心，并加剧了围绕规模较小、审计较少的 DeFi 项目的高风险叙述。

攻击是如何展开的

Trusted Volumes 作为一个使用 RFQ 系统的去中心化场外交易（OTC）平台运行，旨在促进点对点交易。在这种模式下，“吃单者”请求价格报价，“挂单者”提供报价。双方签署订单，然后由智能合约进行结算。整个系统的安全性取决于完美的密码学签名验证。

攻击者在 fillOrder 函数的签名验证逻辑中发现了一个漏洞。这使得他们能够在没有适当授权的情况下伪造交易订单，从而有效地提取了用户已授权协议管理的资金。使用 Trusted Volumes 作为流动性提供者的去中心化交易所 1inch 证实，其自身系统未受此次攻击影响。

此次攻击严峻地提醒人们，DeFi 领域面临着不断的威胁。随着攻击手段变得更加复杂，对于处理用户资金的协议来说，严格的代码审计和安全最佳实践变得愈发重要。

本文仅供参考，不构成投资建议。