TMX 協議在 Arbitrum 上遭遇價值 140 萬美元的漏洞攻擊，由 CertiK 監控

CertiK 的安全研究人員已偵測到一起針對 Arbitrum 網路上 TMX 去中心化交易所（DEX）相關未驗證合約的高階攻擊。此次事件造成約 140 萬美元的資產被盜，再次凸顯日益成為攻擊目標的去中心化交易生態系統中的重大漏洞。

造成 140 萬美元盜取的攻擊機制

黑客策劃了一個複雜的多步驟攻擊，利用 TMX 智能合約在流動性提供與代幣交換上的漏洞。攻擊者反覆用 USDT 抵押品鑄造 TMX 流動性池（LP）代幣，並系統性地利用合約設計缺陷。

攻擊流程如下：黑客鑄造 TMX LP 代幣，將其質押以獲取獎勵，接著用 USDT 兌換 USDG 穩定幣。解押後，他們大量出售 USDG，造成代幣價格的人工下行壓力。這一連串協調行動使他們能從合約儲備中提取大量 USDT、包裹 Solana（SOL）與包裹 Ethereum（WETH）。

為何此次攻擊得逞

TMX 合約未經審計的狀況似乎是關鍵漏洞。與經過正式驗證的協議不同，未經審計的智能合約缺乏嚴格的安全審查，難以發現邊緣案例與攻擊路徑。攻擊者利用合約未能正確驗證交易順序與缺乏多步操作的充分檢查，這是 DeFi 攻擊中常見的漏洞之一。

對 DEX 安全的啟示

此事件凸顯去中心化交易所面臨的持續風險，尤其是在 Layer 2 網路如 Arbitrum 上部署的項目。雖然 L2 提供成本優勢，但部分項目為了快速上市，可能忽略完整的安全審計，導致用戶與流動性提供者暴露於風險之中。CertiK 的監控能力彰顯了鏈上監測在即時偵測攻擊與保護整個生態系統中的重要性。

TMX 攻擊提醒我們，即使是成熟的 DEX 平台，也必須優先進行智能合約驗證與持續的安全監控，以防止類似的安全漏洞再次發生。