1inch流动性提供商与RFQ 订单解算商TrustedVolumes 5 月7 日遭骇、损失约670 万美元。The Defiant 报导整理事件：攻击者透过TrustedVolumes 自家RFQ 交易代理合约的公开函式注册为「授权订单签署者」、再用该权限从目标钱包中清空既有授权的代币。1inch▼已对外切割—核心智慧合约、后端系统、用户持有资金均未被触及；漏洞位于TrustedVolumes 自家自订代理合约。

攻击路径：以授权签署者身分滥用既有token approvals

本次攻击的技术细节：

• 漏洞点：TrustedVolumes 自家RFQ 交易代理合约的一个公开函式
• 攻击路径：攻击者呼叫该函式注册为「授权订单签署者」（authorised order signer）
• 实际提款：取得授权后、利用使用者过去对该代理合约的既有token approvals、把资金从多个钱包转走
• 用户端：不需要签署任何新交易、单靠既有授权就被排干

这个攻击路径特别值得关注的是：对用户而言「没有新的可疑交易签署提示」、攻击完全在合约层发生。这提醒DeFi 用户定期revoke 不再使用的token approvals、即使对受信任的协议也是如此。

670 万美元损失构成：四大币种被一次清空

被盗资产拆解：

• 1,291.16 颗WETH
• 206,282 颗USDT
• 16.939 颗WBTC
• 1,268,771 颗USDC

初期Blockaid 通报显示损失约587 万美元、TrustedVolumes 后续确认金额更新为670 万美元—差距来自代币价值与后续被盗资金的进一步追踪。

1inch 切割声明：核心合约未受影响

1inch▼对本次事件的官方回应：

• 1inch▼自家智慧合约：未被触及
• 1inch▼后端系统：未被触及
• 1inch▼用户持有资金：未受影响
• 本次漏洞位于TrustedVolumes 自家代理合约、不是1inch▼核心基础设施

这个切割对DeFi 用户的实际意义：使用1inch▼主介面进行常规交易的用户不受本次事件影响；但曾对TrustedVolumes 代理合约授权过token approvals 的用户、即使不是直接使用1inch▼、也可能在受影响范围。安全分析公司Blockaid 推测本次攻击者与2025 年3 月的1inch▼Fusion v1 攻击事件、可能是同一攻击者操作。

后续可追踪的具体事件：TrustedVolumes 释出悬赏金额（cointelegraph 报导已开出bounty）、攻击者钱包资金流向、以及1inch▼是否就RFQ 解算商生态的安全标准推出新的审计要求。

本文链接地址：https://www.wwsww.cn/hqfx/38682.html
郑重声明：本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。