1inch 流ідний постачальник і RFQ-розрахунковий підрядник TrustedVolumes 7 травня зазнав злому, втративши приблизно 6,7 млн доларів. The Defiant зібрав ключові деталі події: атакувальник через TrustedVolumes зареєструвався як «уповноважений підписант замовлень» у власному RFQ-трейдинговому проксі-контракті, а потім, використовуючи ці повноваження, очистив уже надані дозволи на токени в цільовому гаманці. 1inch вже відрізав — основний смартконтракт, бекенд-системи та кошти, що належать користувачам, не були зачеплені; вразливість знаходиться в кастомному проксі-контракті TrustedVolumes.
Шлях атаки: зловживання наявними token approvals від імені upовноваженого підписанта
Технічні деталі цієї атаки:
Місце вразливості: публічна функція в власному RFQ-трейдинговому проксі-контракті TrustedVolumes
Шлях атаки: атакувальник викликає цю функцію, реєструючись як «уповноважений підписант замовлень» (authorised order signer)
Фактичне виведення коштів: після отримання дозволу використовується наявний token approvals, який користувачі раніше видали цьому проксі-контракту, щоб переказати кошти з кількох гаманців
Клієнтський сценарій: не потрібно підписувати жодну нову транзакцію — достатньо лише наявних дозволів
Особливо важливо в цьому шляху атаки те, що для користувача відсутні «підказки про нові підозрілі транзакції під час підписання» — атака повністю відбувається на рівні контрактів. Це нагадування DeFi-користувачам регулярно revoke токен-дозволи, які більше не використовуються, навіть якщо йдеться про «довірені» протоколи.
Втрата в 6,7 млн доларів складається з очищення чотирьох основних активів за один раз
Розбір викрадених коштів:
1,291.16 WETH
206,282 USDT
16.939 WBTC
1,268,771 USDC
Початкове сповіщення Blockaid показало збитки приблизно на 5,87 млн доларів, а TrustedVolumes пізніше підтвердив суму на рівні 6,7 млн доларів — різниця зумовлена вартістю токенів і подальшим відстеженням викрадених коштів.
Заява 1inch про відокремлення: ключові контракти не постраждали
Офіційна відповідь 1inch на інцидент:
Власні смартконтракти 1inch: не були порушені
Бекенд-системи 1inch: не були порушені
Кошти користувачів 1inch: не були порушені
Ця вразливість знаходиться в проксі-контракті TrustedVolumes, а не в базовій інфраструктурі 1inch
Практичне значення цього розділення для DeFi-користувачів: користувачі, які здійснюють звичайні транзакції через основний інтерфейс 1inch, не постраждали від цього інциденту; втім, користувачі, які раніше надавали token approvals проксі-контракту TrustedVolumes, навіть якщо вони напряму не використовували 1inch, можуть потрапити в зону ризику. Служба безпекового аналізу Blockaid припускає, що цього разу атакувальник може бути тим самим, що й у події атаки на 1inch Fusion v1 у березні 2025 року, або ж діє в схожому ключі.
Подальші конкретні події, які можна відстежити: TrustedVolumes опублікував суму винагороди (cointelegraph уже повідомляв про відкриття bounty), напрями руху коштів у гаманцях атакувальника, а також чи 1inch запровадить нові вимоги до безпеки/аудиту для екосистеми RFQ-розрахункових підрядників.
Ця стаття про те, що лендінговий постачальник 1inch TrustedVolumes зазнав злому: вкрадено 6,7 млн доларів, а колишній атакувальник знову повернувся, вперше з’явилася на Схенові новин ABMedia.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
