又一起数百万美元的攻击事件发生在DeFi领域。这次,流动性提供商和做市商TrustedVolumes在周四晚上因智能合约漏洞被利用。
**相关阅读:** Solana在三角突破后瞄准新涨势——96美元是下一站吗?
**TrustedVolumes遭黑客攻击损失670万美元**
周四,DeFi平台TrustedVolumes——1inch的流动性提供商和做市商之一——遭遇新的漏洞攻击,导致项目中价值数百万美元的各种资产被盗。据区块链安全公司PeckShield和Blockaid称,攻击者窃取了约600万美元的Wrapped Ethereum(WETH)、Wrapped Bitcoin(WBTC)、USDT和USDC。他们通过利用协议核心签名验证逻辑中的缺陷,绕过了授权检查并创建了虚假交易订单。
值得注意的是,黑客迅速在去中心化交易所(DEX)上将所有被盗资产兑换为2,513个ETH,并将其分散到三个不同的地址。在X平台上的一篇帖子中,TrustedVolumes确认了这一事件,分享了当前持有被盗资金的地址,并将估计损失更新为约670万美元。
漏洞存在于TrustedVolumes控制的自定义RFQ(报价请求)交换代理中。加密货币研究员Humphrey解释说:“自定义RFQ交换代理合约有一个用于管理‘授权订单签名者’白名单的功能。这些白名单系统在DeFi中很常见——只有列表中的地址才能代表协议发出有效的交易指令。”然而,他指出:“这个注册功能是公开的,没有权限限制。”结果,攻击者利用这个公共功能将自己添加为授权订单签名者。“由于任何外部地址都可以调用此功能,这就像给了每个人复制保险箱钥匙的能力,”研究员补充道。
**同一黑客,不同攻击**
在线报道显示,攻击者与2025年3月1inch Fusion V1结算合约被利用导致500万美元损失的黑客是同一人,当时TrustedVolumes也是主要受害者。Humphrey指出,虽然同一个人实施了这两次攻击,但在技术层面上它们截然不同。
根据帖子,2025年的漏洞涉及1inch Fusion V1结算合约中的低级EVM内存操作。当时,黑客“主动发起链上谈判”,提出归还被盗资金以换取白帽赏金。DeFi平台接受了这一提议,大部分资金安全返还。现在,TrustedVolumes表示“愿意就漏洞赏金和双方都能接受的解决方案进行建设性沟通。”
去中心化交易所聚合器1inch澄清说,其系统、基础设施和用户资金未受影响。它解释说:“TrustedVolumes作为流动性提供商独立运营,被行业内的许多协议使用,并非1inch独有。”
**DeFi漏洞攻击创历史新高**
此次攻击发生在上个月DeFi领域遭受一系列漏洞攻击之后。上周,PeckShield报告称,加密货币领域在4月份发生了40起重大黑客攻击,盗取了约6.47亿美元。
**相关阅读:** 1.5亿美元加密货币庞氏骗局崩塌:DSJ交易所崩盘冻结4150万美元
这一数字较3月份的5220万美元环比增长了1140%。这也比2026年第一季度DeFi领域损失的1.65亿美元增长了292%。值得注意的是,当月最大的两起事件——Drift Protocol的2.85亿美元漏洞攻击和KelpDAO的2.9亿美元漏洞攻击——占4月份被盗资金的91%。这两起攻击现已跻身2021年以来十大黑客攻击之列。
特色图片来自Unsplash.com,图表来自TradingView.com
常见问题解答
以下是以自然、清晰、简洁的语气编写的关于TrustedVolumes黑客攻击的常见问题列表
常见问题:TrustedVolumes 670万美元黑客攻击
初级问题
问:TrustedVolumes发生了什么?
答:一个名为TrustedVolumes的DeFi平台被黑客攻击。攻击者从其智能合约中盗取了约670万美元的加密货币。
问:我的资金目前在TrustedVolumes上安全吗?
答:不安全。该平台已被入侵。如果你在受影响的合约中有资金,它们很可能已经丢失。你应该立即查看TrustedVolumes的官方公告,了解恢复计划或冻结的最新信息。
问:什么是智能合约黑客攻击?
答:智能合约就像区块链上自动执行的数字协议。黑客攻击意味着攻击者在该代码中发现了漏洞——比如隐藏的后门或逻辑错误——并利用它来盗取资金。
问:我能拿回被盗的钱吗?
答:可能性很小。在大多数DeFi黑客攻击中,被盗资金会迅速通过混币器或其他区块链转移和洗钱,使得追回极其困难。没有保证。
问:2026年怎么会发生这种事?DeFi平台现在不是更安全了吗?
答:不幸的是,并非如此。虽然安全性有所提高,但黑客也变得越来越老练。新的复杂协议、仓促的代码更新和预言机操纵攻击仍然很常见。2026年这些漏洞攻击急剧增加。
高级问题
问:TrustedVolumes遭受了哪种具体类型的漏洞攻击?
答:虽然全面审计尚未完成,但早期报告表明是闪电贷攻击结合了价格预言机操纵。攻击者借入了大量加密货币(无需抵押),人为改变了TrustedVolumes上的代币价格,然后在偿还贷款前以利润出售借入的资产。
问:这是代码中的错误还是私钥被盗?
答:这似乎是智能合约逻辑错误,而非管理员密钥被盗。攻击者利用了平台在特定交易功能中计算抵押率时的缺陷。这意味着代码本身存在漏洞,而不是密码被泄露。