DeFi 協議 Trusted Volumes 遭攻擊損失 590 萬美元

據區塊鏈安全公司 PeckShield 稱，去中心化金融協議 Trusted Volumes 在攻擊者利用其智能合約中的關鍵漏洞後，損失了約 590 萬美元的數位資產。

PeckShield 的一位發言人在事後報告中表示：「我們的分析顯示，此次攻擊是由協議 fillOrder 函數內部的邏輯錯誤引起的，這使得攻擊者能夠繞過簽名驗證。」區塊鏈安全公司慢霧（SlowMist）也確認了此次攻擊的細節。

從 1inch 網絡流動性提供者處流出的總價值包括 1,291 枚 ETH（302 萬美元）、16.94 枚 WBTC（137 萬美元）、126 萬枚 USDC 和 20.6 萬枚 USDT。鏈上數據顯示，攻擊者立即開始洗錢，通過去中心化交易所將穩定幣和 WBTC 兌換為 2,513 枚 ETH。

這一事件突顯了詢價（RFQ）DeFi 協議固有的安全風險，此類協議通常需要廣泛用戶權限來移動資金。雖然此次損失金額不具系統性威脅，但它打擊了用戶信心，並加劇了圍繞規模較小、審計較少的 DeFi 項目權的高風險敘述。

攻擊是如何展開的

Trusted Volumes 作為一個使用 RFQ 系統的去中心化場外交易（OTC）平台運行，旨在促進點對點交易。在這種模式下，「吃單者」請求價格報價，「掛單者」提供報價。雙方簽署訂單，然後由智能合約進行結算。整個系統的安全性取決於完美的密碼學簽名驗證。

攻擊者在 fillOrder 函數的簽名驗證邏輯中發現了一個漏洞。這使得他們能夠在沒有適當授權的情況下偽造交易訂單，從而有效地提取了用戶已授權協議管理的資金。使用 Trusted Volumes 作為流動性提供者的去中心化交易所 1inch 證實，其自身系統未受此次攻擊影響。

此次攻擊嚴峻地提醒人們，DeFi 領域面臨著不斷的威脅。隨著攻擊手段變得更加複雜，對於處理用戶資金的協議來說，嚴格的代碼審計和安全最佳實踐變得愈發重要。

本文僅供參考，不構成投資建議。