TrustedVolumes 漏洞利用从 1inch 流动性提供方提走 670 万美元

TrustedVolumes，作为去中心化交易聚合器 1inch 的流动性提供商和做市商，正遭遇持续攻击，资金已被抽走约 670 万美元。根据区块链安全公司 Blockaid 以及 TrustedVolumes 本身的报告。Blockaid 于周三最初指出，该漏洞影响 TrustedVolumes 的以太坊区块链解析合约；公司于周四提供了更新后的损失数据，并表示正在考虑发放漏洞赏金以应对该情况。1inch 确认，其系统、基础设施和用户资金不受影响。

初始 Blockaid 报告

Blockaid 报告称，最初被抽走的金额约为 587 万美元，由 1,291.16 WETH、206,282 USDT、16.939 WBTC 和 1,268,771 USDC 构成。根据 Blockaid 的说法，攻击者与 2025 年 3 月 1inch Fusion V1 的被利用事件为同一实体，该事件共抽走了约 500 万美元。不过，Blockaid 指出，正在发生的攻击涉及的是与 TrustedVolumes 控制的自定义 RFQ（报价请求）交换代理相关的另一项漏洞。

TrustedVolumes 回应

TrustedVolumes 于周四确认了该漏洞，并将损失金额更新为约 670 万美元。公司表示将考虑将漏洞赏金作为潜在解决方案来应对该情况。

1inch 声明

1inch 发布声明澄清称，其系统、基础设施或用户资金没有受到影响。声明称：“TrustedVolumes 作为流动性提供商独立运营，被行业内多个协议使用，并非仅限于 1inch。”声明还称：“我们将继续监测该情况，并在适当时与相关安全方积极协助。”

更广泛的 DeFi 安全背景

近几周针对 DeFi 参与者的攻击显著激增。根据 DefiLlama 的数据，2025 年 4 月黑客和利用事件共窃取了 6.352 亿美元，这是自 2025 年 2 月以来的最大单月总额；当时黑客从 Bybit 窃走了近 15 亿美元。近期的重大利用事件包括：Drift 的 2.85 亿美元社交工程攻击，以及 Kelp DAO 的 2.93 亿美元漏洞利用。对 TrustedVolumes 的攻击是自 5 月初以来的第五起重大利用事件。