Ai总结： 以太坊流动性服务商TrustedVolumes遭遇严重安全漏洞，导致约590万美元资金被窃。攻击者利用定制结算系统中的授权验证缺陷，通过注册为合法签署者实施多笔资金转移。尽管涉及1inch生态，但平台本身未受影响。

TrustedVolumes因结算系统缺陷遭黑客盗取逾590万美元

以太坊生态中的流动性基础设施提供商TrustedVolumes于本周四遭遇针对性网络攻击，造成约590万美元的数字资产损失。此次事件波及ETH、WBTC及两大稳定币USDT与USDC，攻击者精准定位其自研订单结算机制中的深层缺陷。

漏洞核心：授权签名机制与资金提取地址脱节

据Blockaid披露的链上数据，本次攻击中被盗资产包括1,291枚WETH、约16.9枚WBTC、近20.6万枚USDT以及接近127万枚USDC。攻击路径始于对TrustedVolumes定制化RFQ代理系统的渗透，该系统负责处理订单结算流程。

GoPlus Security分析指出，攻击者通过调用公开接口“registerAllowedOrderSigner()”将自身地址注册为受信交易签署方。此功能本意是提升灵活性，但在实际执行中，结算逻辑未能强制校验签署地址与资金接收地址的一致性，形成关键风险敞口。

Defi Nerd的技术复盘显示，攻击者共发起四次跨合约资金提取操作。这些交易利用解析器合约先前赋予代理的权限，在每次提取后仅返还一个原始单位的USDC作为“锚点”，从而规避常规监控。随后，所获WETH被即时转换为ETH，并全部转入个人控制的钱包地址。

TrustedVolumes已确认事故属实，公布三个涉事钱包地址，并主动开放沟通渠道，邀请攻击者协商基于漏洞赏金机制的解决方案，寻求非对抗性处置方式。

澄清关联误读：1inch协议未受波及

由于TrustedVolumes在1inch平台上承担做市商角色，初期市场误传事件影响了整个协议。然而，1inch官方与Blockaid均发布声明明确指出，其核心协议运行正常，用户资产未遭任何损害。该机构独立于1inch运营，服务范围覆盖多个去中心化交易平台。

当前，整个DeFi领域正面临严峻安全挑战。今年4月已有超过六起重大安全事故，累计损失超6.5亿美元。其中KelpDAO与Drift Protocol分别遭受2.92亿和2.852亿美元打击，成为行业最严重的两起事件。

相较之下，本次590万美元的损失虽属中小规模，但攻击手法展现出高度技术复杂性：包括部署辅助合约、滥用可公开注册的签名者功能，以及利用做市商身份与资金源地址不一致的系统设计缝隙。这一特征使其区别于常见的配置错误或简单代码缺陷。