1inch 流動性提供商與 RFQ 訂單解算商 TrustedVolumes 5 月 7 日遭駭、損失約 670 萬美元。The Defiant 報導整理事件:攻擊者透過 TrustedVolumes 自家 RFQ 交易代理合約的公開函式註冊為「授權訂單簽署者」、再用該權限從目標錢包中清空既有授權的代幣。1inch 已對外切割—核心智慧合約、後端系統、用戶持有資金均未被觸及;漏洞位於 TrustedVolumes 自家自訂代理合約。
攻擊路徑:以授權簽署者身分濫用既有 token approvals
本次攻擊的技術細節:
漏洞點:TrustedVolumes 自家 RFQ 交易代理合約的一個公開函式
攻擊路徑:攻擊者呼叫該函式註冊為「授權訂單簽署者」(authorised order signer)
實際提款:取得授權後、利用使用者過去對該代理合約的既有 token approvals、把資金從多個錢包轉走
用戶端:不需要簽署任何新交易、單靠既有授權就被排乾
這個攻擊路徑特別值得關注的是:對用戶而言「沒有新的可疑交易簽署提示」、攻擊完全在合約層發生。這提醒 DeFi 用戶定期 revoke 不再使用的 token approvals、即使對受信任的協議也是如此。
670 萬美元損失構成:四大幣種被一次清空
被盜資產拆解:
1,291.16 顆 WETH
206,282 顆 USDT
16.939 顆 WBTC
1,268,771 顆 USDC
初期 Blockaid 通報顯示損失約 587 萬美元、TrustedVolumes 後續確認金額更新為 670 萬美元—差距來自代幣價值與後續被盜資金的進一步追蹤。
1inch 切割聲明:核心合約未受影響
1inch 對本次事件的官方回應:
1inch 自家智慧合約:未被觸及
1inch 後端系統:未被觸及
1inch 用戶持有資金:未受影響
本次漏洞位於 TrustedVolumes 自家代理合約、不是 1inch 核心基礎設施
這個切割對 DeFi 用戶的實際意義:使用 1inch 主介面進行常規交易的用戶不受本次事件影響;但曾對 TrustedVolumes 代理合約授權過 token approvals 的用戶、即使不是直接使用 1inch、也可能在受影響範圍。安全分析公司 Blockaid 推測本次攻擊者與 2025 年 3 月的 1inch Fusion v1 攻擊事件、可能是同一攻擊者操作。
後續可追蹤的具體事件:TrustedVolumes 釋出懸賞金額(cointelegraph 報導已開出 bounty)、攻擊者錢包資金流向、以及 1inch 是否就 RFQ 解算商生態的安全標準推出新的審計要求。
這篇文章 1inch 流動性提供商 TrustedVolumes 遭駭:670 萬美元被盜、舊攻擊者重出江湖 最早出現於 鏈新聞 ABMedia。
