去中心化金融（DeFi）领域刚刚经历了又一起数百万美元的安全 breaches。

根据著名区块链安全公司 SlowMist 和 PeckShield 的警告，黑客成功从交易协议 Trusted Volumes 中抽走了大约 590 万美元的以太坊、Wrapped Bitcoin（WBTC）和稳定币，该协议作为 1inch 的流动性提供者。

这一事件的发生是由于协议核心签名验证逻辑中的根本缺陷。这个缺陷使得攻击者能够绕过授权检查并伪造交易订单。

致命缺陷

Trusted Volumes 是一个基于报价请求（RFQ）架构的 DeFi 交易协议。它们的运作方式类似于去中心化的场外交易（OTC）桌面。

RFQ 系统促进点对点交易，这使其不同于像 Uniswap 这样的传统自动化市场制造商（AMMs）。

一个“接单者”请求价格报价，一个“做市商”提供一个固定价格。双方都对订单进行加密签名，智能合约完成交易。用户必须给予协议广泛的批准以转移他们的资金。因此，完美的加密签名验证对 RFQ 网络的安全至关重要。

在这种情况下，毁灭性的安全漏洞是由于协议的 fillOrder 函数中的逻辑错误导致的。

根据 PeckShield 的说法，总金额达到 590 万美元。SlowMist 对被抽走资产的尸检显示，包含了 1,291 个 ETH（302 万美元）、16.94 个 WBTC（137 万美元）、126 万个 USDC 和 206,000 个 USDT 的大量资金。

不法分子立即开始清洗被盗资金（毫不奇怪）。链上数据确认攻击者通过一个去中心化交易所清洗了被盗的稳定币和 Wrapped Bitcoin。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。