TrustedVolumes遭证实的漏洞：$6.7M RFQ交换盗窃，寻求沟通和解

TrustedVolumes确认发生的 TrustedVolumes exploit 涉及其自有定制RFQ（request-for-quote）交换代理，在以太坊上造成约670万美元损失。区块链安全机构Blockaid此前已将近600多万美元的资金追溯至TrustedVolumes的以太坊resolver合约；多份事件通报还把肇事者与2025年3月1inch Fusion v1事件的同一操作者联系起来，但本次漏洞点在TrustedVolumes控制的基础设施中。 技术层面，该 TrustedVolumes exploit 直指其特权RFQ代理设计。TrustedVolumes表示，3个地址目前托管着被盗资产（约300万美元、300万美元和70万美元）。该公司称对“建设性沟通”持开放态度，并希望用赏金式、双方可接受的解决方案推动和解。Cyvers安全负责人Hakan Unal指出，根因包括：权限less签名者注册、失效的重放保护，以及未验证的转账来源字段；这也意味着若重放保护不可用，可能存在对已授权账户反复抽取的风险。 1inch方面否认直接参与，表示其核心聚合合约与用户资金均“无影响”，但也承认会使用TrustedVolumes作为多个resolver之一。被引用的关键资金流包括从以太坊resolver转出的约1,291.16 WETH、206,282 USDT、16.939 WBTC和1,268,771 USDC。 对交易者而言，短期主要担忧是围绕1inch相邻流动性与RFQ基础设施的对手方信心。如果被盗资金最终归还，市场情绪可能快速修复；若谈判陷入僵局或资金继续外流，则与resolver/RFQ相关的受影响DeFi流动性场景可能面临更高的风险溢价。