TMX协议在Arbitrum上遭遇价值140万美元的漏洞利用，CertiK进行监控

CertiK的安全研究人员发现了针对Arbitrum网络上TMX去中心化交易所相关未验证合约的复杂攻击。此次事件导致约140万美元的资产被盗，标志着日益受到攻击的去中心化交易所生态系统又一次遭受重大突破。

价值140万美元盗窃背后的攻击机制

黑客策划了一场复杂的多步骤攻击，利用了TMX智能合约在流动性提供和代币兑换方面的漏洞。通过反复使用USDT抵押品铸造TMX流动性池（LP）代币，攻击者得以系统性地利用合约设计缺陷。

攻击流程如下：黑客铸造TMX LP代币，质押以获取奖励，然后用USDT兑换USDG稳定币。解除质押后，他们大量出售USDG，造成代币价格的人工下行压力。这一系列协调操作使他们能够从合约储备中提取大量USDT、包裹Solana（SOL）和包裹Ethereum（WETH）。

这次攻击为何得逞

TMX合约未经过审计似乎成为关键漏洞。与经过正式验证的协议不同，未审计的智能合约缺乏必要的安全审查，难以发现边缘情况和利用路径。攻击者利用了合约未能正确验证交易顺序以及对多步骤操作缺乏充分检查的缺陷——这是DeFi攻击中的常见漏洞。

对去中心化交易所安全的启示

此次事件凸显了去中心化交易所面临的持续风险，尤其是在Layer 2网络如Arbitrum上部署的项目。虽然L2提供了成本优势，但一些项目在未完成全面安全审计的情况下匆忙上线，导致用户和流动性提供者面临风险。CertiK的监控能力强调了链上监测在实时捕捉此类攻击、保护生态系统方面的重要性。

TMX此次攻击提醒我们，即使是成熟的去中心化交易平台，也必须优先进行智能合约验证和持续的安全监控，以防止类似漏洞再次发生。