1inch 流动性提供商与 RFQ 订单解算商 TrustedVolumes 5 月 7 日遭到黑客攻击、损失约 670 万美元。The Defiant 报导整理事件:攻击者通过 TrustedVolumes 自家 RFQ 交易代理合约的公开函数注册为“授权订单签署者”、再用该权限从目标钱包中清空既有授权的代币。1inch 已对外切割—核心智能合约、后端系统、用户持有资金均未被触及;漏洞位于 TrustedVolumes 自家自订代理合约。
攻击路径:以授权签署者身份滥用既有 token approvals
本次攻击的技术细节:
漏洞点:TrustedVolumes 自家 RFQ 交易代理合约的一个公开函数
攻击路径:攻击者调用该函数注册为“授权订单签署者”(authorised order signer)
实际提款:取得授权后、利用使用者过去对该代理合约的既有 token approvals、把资金从多个钱包转走
用户端:不需要签署任何新交易、单靠既有授权就被排空
这个攻击路径特别值得关注的是:对用户而言“没有新的可疑交易签署提示”、攻击完全在合约层发生。这提醒 DeFi 用户定期 revoke 不再使用的 token approvals、即使对受信任的协议也是如此。
670 万美元损失构成:四大币种被一次清空
被盗资产拆解:
1,291.16 颗 WETH
206,282 颗 USDT
16.939 颗 WBTC
1,268,771 颗 USDC
初期 Blockaid 通报显示损失约 587 万美元、TrustedVolumes 后续确认金额更新为 670 万美元—差距来自代币价值与后续被盗资金的进一步追踪。
1inch 切割声明:核心合约未受影响
1inch 对本次事件的官方回应:
1inch 自家智能合约:未被触及
1inch 后端系统:未被触及
1inch 用户持有资金:未受影响
本次漏洞位于 TrustedVolumes 自家代理合约、不是 1inch 核心基础设施
这次切割对 DeFi 用户的实际意义:使用 1inch 主介面进行常规交易的用户不受本次事件影响;但曾对 TrustedVolumes 代理合约授权过 token approvals 的用户、即使不是直接使用 1inch、也可能在受影响范围。安全分析公司 Blockaid 推测本次攻击者与 2025 年 3 月的 1inch Fusion v1 攻击事件、可能是同一攻击者操作。
后续可追踪的具体事件:TrustedVolumes 释出悬赏金额(cointelegraph 报导已开出 bounty)、攻击者钱包资金流向、以及 1inch 是否就 RFQ 解算商生态的安全标准推出新的审计要求。
这篇文章 1inch 流动性提供商 TrustedVolumes 遭黑:670 万美元被盗、旧攻击者重出江湖 最早出现于 链新闻 ABMedia。
相关文章
