TrustedVolumes因结算系统缺陷遭攻击，逾590万美元资金失窃

以太坊生态中的流动性服务商TrustedVolumes于本周四遭遇网络入侵，导致约590万美元的数字资产被非法转移。此次攻击聚焦于其自研订单结算机制，涉及ETH、WBTC以及USDT和USDC等主流资产。

漏洞链触发资金外流，四次交易完成资产剥离

据区块链安全机构Blockaid披露，被盗资产包括1,291枚WETH、约16.9枚WBTC、206,000枚USDT及近127万枚USDC。攻击者通过操纵名为RFQ代理的定制化交易处理模块，利用其中存在的地址验证偏差实现资金提取。

GoPlus Security调查指出，攻击者借助公开接口“registerAllowedOrderSigner()”将自身注册为合法订单签署方。该功能本意用于灵活授权，但在实际执行中，结算逻辑未能核对资金提取地址与授权签名地址的一致性，形成可被滥用的跳板。

Defi Nerd的技术分析揭示，攻击者共发起四笔跨合约转账操作，均基于解析器合约先前授予的权限。每次交易仅返还一个原始USDC单位作为掩护，而实际提取金额远超此数。随后，所有被盗的WETH被转换为ETH，并集中转入个人控制的钱包地址。

TrustedVolumes已确认事件属实，公布了三个关联被盗资金的钱包地址，并主动发起沟通，邀请攻击者协商“漏洞奖励”及双方可接受的赔偿方案。

1inch声明无涉事，行业安全压力持续加剧

由于TrustedVolumes在1inch平台承担做市与流动性供给角色，初期市场误判为1inch协议受创。然而，1inch官方联合Blockaid明确回应，其核心协议未被渗透，用户资产安全未受影响。该机构独立运行于多个去中心化平台，非单一项目依赖。

本次事件发生于去中心化金融领域接连遭受重创的背景下。今年四月已有多个项目遭遇大规模安全事故，累计损失超6.5亿美元，其中KelpDAO与Drift Protocol分别损失2.92亿与2.852亿美元，成为最严重案例。

相较而言，本次590万美元的损失虽属中等规模，但攻击路径高度复杂：包含辅助合约部署、恶意注册签署权、以及利用做市商与资金源地址不一致的深层设计缺陷。这一手法显著区别于常见配置错误或简单逻辑疏漏，凸显当前DeFi系统面临的技术对抗升级。