TMX 去中心化交易所合約在 Arbitrum 上被攻擊，1.4 百萬美元在高級攻擊中被盜

安全監控公司 CertiK 發現了一個針對 TMX 的重大漏洞利用事件，該去中心化交易所項目於 1 月 6 日在 Arbitrum 網絡上遭受攻擊。此次事件導致約 140 萬美元的用戶資產被盜，暴露出未經審核的智能合約生態系統中的重大風險。

攻擊機制：攻擊者如何抽取 TMX 流動性池資金

此次利用揭示了一個破壞性多步攻擊模式，利用 TMX 複雜的合約架構漏洞。威脅行為者執行了一個遞歸策略，循環進行多個操作：用 USDT 抵押品鑄造 TMX LP 代幣，將這些代幣質押以產生獎勵，然後系統性地將 USDT 轉換為 USDG 代幣。攻擊者在策略性地解除質押並反覆在二級市場出售累積的 USDG，逐步耗盡合約的儲備。

這種循環方法尤其具有破壞性，因為每次迭代都放大了攻擊者的資本效率。攻擊者並未進行一次性的大額提款，而是將交易拆分成多次，這使得攻擊模式更難被察覺，直到大量流動性已被抽走。

易受攻擊資產及跨代幣影響

此次漏洞不僅影響單一資產。TMX 合約持有多種高價值代幣，包括 USDT 穩定幣、包裝 Solana (SOL) 和包裝 Ethereum (WETH)。隨著攻擊者自動化其提取策略，系統性地清算了這些多樣化的持有資產，導致受影響的流動池嚴重枯竭。

CertiK 的調查確認，底層合約未經驗證，意味著在部署前沒有經過正式的安全審計——這是一個關鍵的疏忽，讓漏洞得以未被察覺地持續存在。

對 DeFi 安全的啟示與未來預防措施

TMX 事件凸顯了去中心化金融領域中一個持續的挑戰：大量未經審核的合約在未經嚴格安全審查的情況下被部署。此案例證明，即使是高級的攻擊手法，只要缺乏基本的安全措施，也可能成功。這對於考慮採用類似代幣經濟結構或流動性機制的項目來說，是一個重要的警示。