1inch 流动性提供商与 RFQ 订单解算商 TrustedVolumes 5 月 7 日遭到黑客攻击、损失约 670 万美元。The Defiant 报导整理事件:攻击者通过 TrustedVolumes 自家 RFQ 交易代理合约的公开函数注册为“授权订单签署者”、再用该权限从目标钱包中清空既有授权的代币。1inch 已对外切割—核心智能合约、后端系统、用户持有资金均未被触及;漏洞位于 TrustedVolumes 自家自订代理合约。
攻击路径:以授权签署者身份滥用既有 token approvals
本次攻击的技术细节:
漏洞点:TrustedVolumes 自家 RFQ 交易代理合约的一个公开函数
攻击路径:攻击者调用该函数注册为“授权订单签署者”(authorised order signer)
实际提款:取得授权后、利用使用者过去对该代理合约的既有 token approvals、把资金从多个钱包转走
用户端:不需要签署任何新交易、单靠既有授权就被排空
这个攻击路径特别值得关注的是:对用户而言“没有新的可疑交易签署提示”、攻击完全在合约层发生。这提醒 DeFi 用户定期 revoke 不再使用的 token approvals、即使对受信任的协议也是如此。
670 万美元损失构成:四大币种被一次清空
被盗资产拆解:
1,291.16 颗 WETH
206,282 颗 USDT
16.939 颗 WBTC
1,268,771 颗 USDC
初期 Blockaid 通报显示损失约 587 万美元、TrustedVolumes 后续确认金额更新为 670 万美元—差距来自代币价值与后续被盗资金的进一步追踪。
1inch 切割声明:核心合约未受影响
1inch 对本次事件的官方回应:
1inch 自家智能合约:未被触及
1inch 后端系统:未被触及
1inch 用户持有资金:未受影响
本次漏洞位于 TrustedVolumes 自家代理合约、不是 1inch 核心基础设施
这次切割对 DeFi 用户的实际意义:使用 1inch 主介面进行常规交易的用户不受本次事件影响;但曾对 TrustedVolumes 代理合约授权过 token approvals 的用户、即使不是直接使用 1inch、也可能在受影响范围。安全分析公司 Blockaid 推测本次攻击者与 2025 年 3 月的 1inch Fusion v1 攻击事件、可能是同一攻击者操作。
后续可追踪的具体事件:TrustedVolumes 释出悬赏金额(cointelegraph 报导已开出 bounty)、攻击者钱包资金流向、以及 1inch 是否就 RFQ 解算商生态的安全标准推出新的审计要求。
这篇文章 1inch 流动性提供商 TrustedVolumes 遭黑:670 万美元被盗、旧攻击者重出江湖 最早出现于 链新闻 ABMedia。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
Wasabi Protocol 于 5 月 9 日因 Spring Boot Actuator 配置错误遭受 570 万美元损失
Wasabi Protocol 今天(5 月 9 日)披露了一起安全事件:攻击者在其 AWS 基础设施中利用 Spring Boot Actuator 的配置错误,窃取用于控制 EVM 智能合约的私钥。此次泄露导致约 480 万美元的用户资金以及 90 万美元的协议储备在以太坊、Base、Blast 和 Berachain 的金库中被盗,合计造成 570 万美元的损失。Solana 部署和 Prop AMM 未受影响。该协议表示,补偿所有受影响用户仍是其最高优先级,尽管目前尚未公布最终的补偿计划。
GateNews40 分钟前
加密“撬锁”攻击在 2026 年激增 41%,$101M 在前四个月内遭遇损失,因为家庭成员日益成为目标
据 CertiK 称,2026 年前四个月,加密“扳手”攻击已造成约 1.01 亿美元的损失,全球共有 34 起经核实的事件,较 2025 年同期增长 41%。如果该趋势继续,该公司预计将达到数亿美元的
GateNews3小时前
菲律宾中央银行警告:5 月 9 日起请勿与未经授权的 VASP 进行交易
据 BusinessWorld 报道,菲律宾中央银行在 5 月 9 日向公众发出警告,称不要与未经授权的虚拟资产服务提供商(VASPs)进行交易,理由是存在欺诈、安全漏洞和运营故障等风险,可能导致资金损失。中央银行还指出了其他风险,包括缺乏法律救济、缺失消费者保护机制、服务质量较差、虚假广告、不当的私钥处理、网络安全事件以及数据隐私问题。该银行承诺将继续与证券交易委员会(Securities and Exchange Commission)和国家电信委员会(National Telecommunications Commission)合作,以限制菲律宾用户访问未经授权的 VASP 平台。
GateNews5小时前
Lazarus 在 5 月 9 日针对开发者的攻击中,将恶意软件加载器隐藏在 Git Hooks 中
根据 OpenSourceMalware 的研究,在 5 月 9 日针对开发者的攻击中,朝鲜黑客组织 Lazarus 在 Git Hooks 的 pre-commit 脚本中隐藏了第二阶段加载器。该组织在包括“Infectious Interview”在内的行动中使用了这一技术,假装成加密货币和 DeFi 招聘人员,诱骗开发者克隆恶意代码仓库,最终目的是窃取加密资产和凭证。
GateNews6小时前
诈骗分子冒充伊朗当局,要求在 4 月 21 日为霍尔木兹海峡通行支付加密货币
根据 MARISKS,这家希腊海事风险管理公司称,身份不明的个人冒充伊朗当局,于 4 月 21 日向航运公司发送信息,要求以加密货币付款以确保通过霍尔木兹海峡的安全通行。该公司确认这些信息是
GateNews6小时前
新加坡前海军上尉盗取 170 万 USDT,判处 6 年 10 个月
据《联合早报》于 5 月 9 日报道,新加坡国家法院法官王沁如于 5 月 8 日就被告张荣轩(35 岁,译音)案作出判决,判处入狱六年十个月。张荣轩为前海军菁英潜水单位(Naval Diving Unit)上尉,被裁定趁友人外出时潜入公寓、拍摄冷钱包助记词,并于事后盗走友人持有的 170 万枚 USDT。 犯罪过程:社交工程取得门禁后拍摄助记词 根据《联合早报》引述的案情,2022 年 6 月,被告与受害者(30 岁,中国籍)通过友人引荐相识,两人后来共同创办非同质化代币(NFT)交易平台,该平台隶属 DiGi Selection Holdings Pte Ltd,被告担任首席执行官(CEO),受害者担任首席营运官(COO)。 2022 年 12 月 14 日,受害者将 170 万枚 USDT 转入冷钱包,并在对话中向被告透露此事。同月 18 日,被告借口替友人开门取得受害者的公寓门禁卡后未予归还。 2022 年 12 月 31 日,被告趁受害者外出观看元旦烟火之际,使用门禁卡潜入公寓,在受害者卧室衣柜的收纳盒内找到冷钱包及记录 24 个英文助记词的纸张,拍摄照片后将物品放回原处。20
Market Whisper6小时前
