1inch-Liquiditätsanbieter TrustedVolumes gehackt: 6,7 Millionen US-Dollar gestohlen, alter Angreifer taucht wieder auf

1inch-Liquiditätsanbieter und RFQ-Order-Abwickler TrustedVolumes wurde am 7. Mai gehackt und erlitt einen Verlust von rund 6,7 Millionen US-Dollar. The Defiant fasst den Vorfall zusammen: Der Angreifer registrierte sich über TrustedVolumes’ eigenen RFQ-Trade-Proxy-Vertrags-öffentlichen Funktionsaufruf als „bevollmächtigter Order-Signer“ und nutzte diese Berechtigung, um vorhandene Token-Zulassungen aus dem Ziel-Wallet zu leeren. 1inch hat sich offiziell davon distanziert – der Kern-Smart-Contract, das Backend-System sowie die vom Nutzer gehaltenen Gelder wurden nicht angegriffen; die Sicherheitslücke liegt in TrustedVolumes’ eigenem, maßgeschneiderten Proxy-Vertrag.

Angriffspfad: Missbrauch einer bestehenden Token-Approval durch den „bevollmächtigten Signer“

Technische Details dieses Angriffs:

Schwachstelle: Eine öffentliche Funktion im RFQ-Trade-Proxy-Vertrag von TrustedVolumes

Angriffspfad: Der Angreifer ruft die Funktion auf, um sich als „bevollmächtigter Order-Signer“ (authorised order signer) zu registrieren

Tatsächlicher Abzug: Nachdem der Angreifer die Berechtigung erhalten hatte, nutzte er die bereits vorhandenen token approvals des Nutzers für diesen Proxy-Vertrag, um Gelder von mehreren Wallets abzuziehen

Nutzerseite: Es sind keine neuen Signaturen für Transaktionen erforderlich – allein die bestehenden Zulassungen reichen aus, um das Guthaben abzuführen

Besonders hervorzuheben ist bei diesem Angriffspfad: Für Nutzer gibt es keine neuen auffälligen Hinweise zur Transaktionssignierung, da der Angriff vollständig auf der Vertragsebene abläuft. Das ist eine Mahnung an DeFi-Nutzer, Token-Approvals regelmäßig zu widerrufen, die nicht mehr verwendet werden – selbst wenn es sich um Zulassungen für vertrauenswürdige Protokolle handelt.

Der Verlust von 6,7 Millionen US-Dollar besteht aus: vier großen Token-Säuberungen

Aufschlüsselung der gestohlenen Assets:

1.291,16 WETH

206.282 USDT

16,939 WBTC

1.268.771 USDC

Die erste Blockaid-Meldung zeigte einen Verlust von etwa 5,87 Millionen US-Dollar; TrustedVolumes bestätigte anschließend den Betrag auf 6,7 Millionen US-Dollar – die Differenz stammt aus dem Token-Wert und der weiteren Verfolgung der gestohlenen Gelder.

1inch-Entkopplungserklärung: Kernvertrag nicht betroffen

Offizielle Reaktion von 1inch auf den Vorfall:

1inch-eigener Smart Contract: nicht betroffen

1inch-Backend-System: nicht betroffen

1inch-nutzergestützte gehaltene Gelder: nicht betroffen

Die Schwachstelle liegt im eigenen Proxy-Vertrag von TrustedVolumes, nicht in 1inch’ Kern-Infrastruktur.

Die praktische Bedeutung dieses Cut-offs für DeFi-Nutzer: Nutzer, die über die 1inch-Main-Schnittstelle reguläre Transaktionen durchführen, sind von diesem Vorfall nicht betroffen; aber Nutzer, die TrustedVolumes’ Proxy-Vertrag bereits token approvals erteilt haben, auch wenn sie nicht direkt 1inch verwenden, könnten dennoch im betroffenen Bereich liegen. Die Sicherheitsanalysefirma Blockaid vermutet, dass der Angreifer dieses Mal möglicherweise derselbe Akteur ist wie bei dem Angriff auf 1inch Fusion v1 im März 2025.

Konkrete Folgeereignisse zur weiteren Nachverfolgung: TrustedVolumes veröffentlicht eine Belohnung (cointelegraph berichtete bereits über das bounty), die Geldflüsse des Angreifer-Wallets sowie ob 1inch neue Audit-Anforderungen für den Sicherheitsstandard im Ökosystem der RFQ-Abwickler einführt.

Dieser Artikel „1inch-Liquiditätsanbieter TrustedVolumes wurde gehackt: 6,7 Millionen US-Dollar gestohlen, alter Angreifer ist zurück“ erschien zuerst auf 链新闻 ABMedia.