1inch 流動性提供者および RFQ 注文の清算業者 TrustedVolumes は 5 月 7 日にハッキングされ、約 670 万ドルの損失。The Defiant がこの事件をまとめる:攻撃者は TrustedVolumes 自社の RFQ 取引代理コントラクトの公開関数を「承認された注文署名者(authorised order signer)」として登録し、その権限を使って対象ウォレットから、既存の承認済みトークンをすべて引き出した。1inch は外部に切り分けを公表—中核のスマートコントラクト、バックエンドシステム、ユーザーが保有する資金はいずれも影響を受けておらず;脆弱性は TrustedVolumes 自社のカスタム代理コントラクトにある。
攻撃経路:承認された署名者として既存の token approvals を悪用
今回の攻撃の技術的詳細:
脆弱性ポイント:TrustedVolumes 自社の RFQ 取引代理コントラクトにある公開関数
攻撃経路:攻撃者がその関数を呼び出して「承認された注文署名者(authorised order signer)」として登録
実際の引き出し:承認を取得した後、利用者が過去に当該代理コントラクトへ付与していた既存の token approvals を利用し、資金を複数のウォレットから引き出して持ち去る
利用者側:新たな取引に署名する必要がなく、既存の承認だけで資金が抜き取られる
この攻撃経路で特に注目すべきは、利用者にとって「新しい疑わしい取引の署名提示がない」こと、攻撃が完全にコントラクト層で発生している点だ。これは DeFi ユーザーに対し、使わなくなった token approvals を定期的に revoke すること、たとえ信頼できるプロトコルであっても同様だと注意を促している。
670 万ドルの損失は:4 種類の主要コインが一度に全消しされたことによる
盗まれた資産の内訳:
1,291.16 WETH
206,282 USDT
16.939 WBTC
1,268,771 USDC
初期の Blockaid の通報では損失は約 587 万ドル、TrustedVolumes が後続で金額を確認したところ 670 万ドルに更新—差はトークンの価格と、さらに追跡された盗難資金の追加分による。
1inch の切り分け声明:中核コントラクトは影響なし
1inch の本件に対する公式な回答:
1inch 自社スマートコントラクト:影響を受けていない
1inch バックエンドシステム:影響を受けていない
1inch ユーザーが保有する資金:影響を受けていない
今回の脆弱性は TrustedVolumes 自社の代理コントラクトにあり、1inch の中核となる基盤インフラではない
この切り分けが DeFi ユーザーにとって持つ実際の意味:1inch のメイン画面で通常の取引を行うユーザーは今回の事件の影響を受けない;しかし TrustedVolumes の代理コントラクトへ token approvals を承認したことがあるユーザーは、たとえ直接 1inch を使っていなくても、影響範囲に含まれる可能性がある。セキュリティ分析会社 Blockaid は、今回の攻撃者は 2025 年 3 月の 1inch Fusion v1 攻撃事件と、同一の攻撃者による可能性があると推測している。
追跡可能な具体的な今後の出来事:TrustedVolumes が懸賞金額を公開(cointelegraph の報道では bounty を出している)、攻撃者ウォレットの資金フロー、そして 1inch が RFQ 清算商のエコシステムに関する安全基準として新たな監査要件を出すかどうか。
この記事 1inch 流動性提供者 TrustedVolumes がハッキングされる:670 万ドルが盗まれ、旧攻撃者が再び現れる 最初に登場:チェーンニュース ABMedia。
