TrustedVolumes 是一個被多個 DeFi 協議使用的流動性提供者，遭受了一次漏洞攻擊，迄今已導致約 670 萬美元資金被盜。

區塊鏈分析公司 Blockaid 的漏洞偵測系統確認受害合約為 TrustedVolumes 在以太坊上的解析器，攻擊者約提取了 1,291 枚 WETH、206,282 枚 USDT、16.93 枚 WBTC 和 126 萬枚 USDC。

該公司指出，本次攻擊者與 2025 年 3 月 1inch Fusion V1 事件的幕後操作者為同一人，此次是利用 TrustedVolumes 控制的客製化 RFQ 互換代理中的不同漏洞。

RFQ，即報價請求，互換代理是一種處理做市商與交易者之間報價和代幣互換的合約。

TrustedVolumes 證實了這次洩漏事件，並公佈了三個持有被盜資金的錢包地址，分別約為 300 萬美元、300 萬美元和 70 萬美元，並表示「願意就漏洞賞金和雙方都能接受的解決方案進行建設性溝通」。

加密安全公司 Cyvers 的高級安全營運主管 Hakan Unal 告訴 Decrypt，根本原因是「無權限簽名者註冊、失效的重放保護和未經驗證的轉帳來源欄位」的結合。

他補充說，這些漏洞讓攻擊者可以扮演受信任的簽名者，在未經有效授權的情況下盜取受害者的資金，資金先是透過高風險的無 KYC 交易所 ChangeNow 轉移，然後再兌換成 ETH。

Unal 表示：「損失可能遠不止如此。由於重放保護失效，攻擊者本可以重複盜取更多已獲批准的帳戶。」

Decrypt 已聯繫 TrustedVolumes 徵求評論。

1inch 劃清界線

DeFi 聚合器 1inch 在報導將該平台直接與此次洩漏事件聯繫起來，並將其描述為對協議本身的攻擊後，進行了反駁。

1inch 推文表示：「我們可以確認，1inch 及其任何協議均未參與其中。1inch 的系統、基礎設施或用戶資金沒有受到任何影響。」

1inch 發言人告訴 Decrypt：「從審查和監控的角度來看，我們正在與安全合作夥伴一同努力，了解此次漏洞發生的具體細節，並將把所有相關發現納入我們正在進行的安全和整合流程中。」

發言人補充說，如果一個提供者「不可用或受損，其他提供者會繼續不間斷地為用戶服務」，這種「內建冗餘」是一個核心設計原則，在此次事件中「完全按預期運作」。

1inch 聯合創始人 Sergej Kunz 在推特上表示：「雖然 1inch 確實將 TrustedVolumes 用作解析器，但我們只是眾多解析器之一。這篇報導的描述最終是混淆且有害的。」

對 DeFi 的攻擊

加密資產恢復平台 CryptoCare 的創辦人兼執行長 Nick Harris 告訴 Decrypt：「TrustedVolumes 事件最令人震驚的是，同一個攻擊者在數月之內，針對不同的合約發動了兩次攻擊。」他將肇事者描述為「耐心、有針對性的操作者」，而非機會主義駭客。他警告說，從一次漏洞攻擊中倖存下來，不一定能消除風險，反而可能「開啟新的風險」。

TrustedVolumes 的漏洞攻擊發生在 DeFi 遭受殘酷打擊之後，此前北韓駭客從 Drift Protocol 竊取了 2.85 億美元，而 Kelp DAO 則在一次歸咎於 LayerZero 基礎設施受損的攻擊中損失了 2.93 億美元。

Kelp 的駭客攻擊事件此後已進入美國聯邦法院，Aave 正在爭取解凍 Arbitrum 上 7100 萬美元被凍結的用戶資金。