1inch 流動性提供商 และ RFQ 訂單解算商 TrustedVolumes 5 月 7 日遭โจรกรรม สูญเสียราว 6.7 ล้านดอลลาร์สหรัฐ The Defiant สรุปเหตุการณ์: ผู้โจมตีใช้การลงทะเบียน “ผู้ลงนามคำสั่งที่ได้รับอนุญาต” ผ่านสัญญาตัวแทนการเทรด RFQ ของ TrustedVolumes เอง จากนั้นใช้สิทธิ์ดังกล่าวเพื่อกวาดโทเค็นที่ได้รับการอนุมัติอยู่แล้วออกจากกระเป๋าเป้าหมาย 1inch ได้แยกส่วนชัดเจน—สัญญาอัจฉริยะหลัก ระบบฝั่งหลัง และเงินที่ผู้ใช้ถืออยู่ไม่ได้ถูกแตะต้อง และช่องโหว่อยู่ที่สัญญาตัวแทนที่ TrustedVolumes เขียนขึ้นเอง
เส้นทางการโจมตี: ใช้สิทธิ์ในฐานะผู้ลงนามคำสั่งเพื่อใช้งาน token approvals ที่มีอยู่เดิม
รายละเอียดเชิงเทคนิคของการโจมตีครั้งนี้:
จุดที่เป็นช่องโหว่: ฟังก์ชันสาธารณะของสัญญาตัวแทนการเทรด RFQ ที่ TrustedVolumes เขียนขึ้นเอง
เส้นทางการโจมตี: ผู้โจมตีเรียกใช้ฟังก์ชันดังกล่าวเพื่อลงทะเบียนเป็น “ผู้ลงนามคำสั่งที่ได้รับอนุญาต”(authorised order signer)
การถอนเงินจริง: หลังได้รับอนุญาตแล้ว ใช้ token approvals ที่ผู้ใช้เคยให้กับสัญญาตัวแทนนี้อยู่ก่อน เพื่อย้ายเงินออกจากหลายกระเป๋า
ฝั่งผู้ใช้งาน: ไม่จำเป็นต้องลงนามธุรกรรมใหม่ใดๆ แค่ใช้การอนุญาตที่มีอยู่ก็ถูกกวาดเรียบ
สิ่งที่น่าจับตาเป็นพิเศษของเส้นทางการโจมตีนี้คือ: สำหรับผู้ใช้งาน “ไม่มีคำเตือนหรือป๊อปอัปการลงนามธุรกรรมที่น่าสงสัยใหม่” การโจมตีเกิดขึ้นในระดับสัญญาเท่านั้น สิ่งนี้ย้ำให้ผู้ใช้ DeFi หมั่น revoke token approvals ที่ไม่ใช้แล้ว แม้จะเป็นโปรโตคอลที่เชื่อถือได้ก็ตาม
การสูญเสีย 6.7 ล้านดอลลาร์สหรัฐ เกิดจากการล้างโทเค็น 4 สกุลในครั้งเดียว
รายละเอียดสินทรัพย์ที่ถูกขโมย:
1,291.16 เหรียญ WETH
206,282 เหรียญ USDT
16.939 เหรียญ WBTC
1,268,771 เหรียญ USDC
การแจ้งเบื้องต้นของ Blockaid ระบุว่ามีความเสียหายราว 5.87 ล้านดอลลาร์สหรัฐ TrustedVolumes ยืนยันยอดอัปเดตเป็น 6.7 ล้านดอลลาร์สหรัฐ—ความต่างมาจากมูลค่าโทเค็นและการติดตามเงินที่ถูกขโมยเพิ่มในภายหลัง
คำชี้แจงการแยกส่วนของ 1inch: สัญญาอัจฉริยะหลักไม่ได้รับผลกระทบ
คำตอบอย่างเป็นทางการของ 1inch ต่อเหตุการณ์นี้:
สัญญาอัจฉริยะของ 1inch เอง: ไม่ได้รับผลกระทบ
ระบบหลังบ้านของ 1inch: ไม่ได้รับผลกระทบ
เงินที่ผู้ใช้ของ 1inch ถืออยู่: ไม่ได้รับผลกระทบ
ช่องโหว่ครั้งนี้อยู่ที่สัญญาตัวแทนที่ TrustedVolumes เขียนเอง ไม่ใช่โครงสร้างพื้นฐานหลักของ 1inch
ความหมายเชิงปฏิบัติสำหรับผู้ใช้ DeFi จากการแยกส่วนครั้งนี้: ผู้ใช้ที่ทำธุรกรรมตามปกติบนอินเทอร์เฟซหลักของ 1inch จะไม่ถูกกระทบจากเหตุการณ์นี้ แต่ผู้ใช้ที่เคยให้ token approvals กับสัญญาตัวแทนของ TrustedVolumes แม้จะไม่ได้ใช้ 1inch โดยตรง ก็อาจอยู่ในขอบเขตที่ได้รับผลกระทบด้วย บริษัทวิเคราะห์ความปลอดภัย Blockaid คาดว่าผู้โจมตีครั้งนี้อาจเป็นกลุ่มเดียวกับเหตุโจมตี 1inch Fusion v1 ในเดือน 3 ปี 2025
เหตุการณ์เฉพาะที่ติดตามได้ต่อ: TrustedVolumes ปล่อยรางวัลนำจับ (cointelegraph รายงานว่าได้เปิด bounty แล้ว) ทิศทางการไหลของเงินในกระเป๋าของผู้โจมตี และว่า 1inch จะออกข้อกำหนดการตรวจสอบใหม่เพื่อความปลอดภัยต่อระบบนิเวศของ RFQ order solvers หรือไม่
บทความนี้ 1inch ผู้ให้สภาพคล่อง TrustedVolumes โดนแฮ็ก: โดนขโมย 6.7 ล้านดอลลาร์สหรัฐ ผู้โจมตีรายเดิมกลับมาอีกครั้ง ปรากฏครั้งแรกใน 鏈新聞 ABMedia。
