币圈子(120btc.CoM)：1inch流动性提供商与RFQ订单解算商Trusted Volumes5月7日遭黑、被黑欧亿交易所软件官方损失约670万美元。损失The 流动Defiant报导整理事件：攻击者透过Trusted Volumes自家RFQ交易代理合约的公开函式注册为「授权订单签署者」、再用该权限从目标钱包中清空既有授权的性提代币。

1inch已对外切割—核心智能合约、供商后端系统、被黑用户持有资金均未被触及；漏洞位于Trusted Volumes自家自订代理合约。损失

攻击路径：以授权签署者身份滥用既有token approvals

本次攻击的技术细节：

• 漏洞点：Trusted Volumes自家RFQ交易代理合约的一个公开函式

• 攻击路径：攻击者呼叫该函式注册为「授权订单签署者」(authorised order signer)

• 实际提款：取得授权后、利用使用者过去对该代理合约的既有token approvals、把资金从多个钱包转走

• 用户端：不需要签署任何新交易、单靠既有授权就被排干

这个攻击路径特别值得关注的是：对用户而言「没有新的可疑交易签署提示」、攻击完全在合约层发生。这提醒DeFi用户定期revoke不再使用的token approvals、即使对受信任的协议也是如此。

670万美元损失构成：四大币种被一次清空

被盗资产拆解：

• 1,291.16颗WETH

• 206,282颗USDT

• 16.939颗WBTC

• 1,268,771颗USDC

初期Blockaid通报显示损失约587万美元、Trusted Volumes后续确认金额更新为670万美元—差距来自代币价值与后续被盗资金的进一步追踪。

1inch切割声明：核心合约未受影响

1inch对本次事件的官方回应：

• 1inch自家智能合约：未被触及

• 1inch后端系统：未被触及

• 1inch用户持有资金：未受影响

• 本次漏洞位于Trusted Volumes自家代理合约、不是1inch核心基础设施

这个切割对DeFi用户的实际意义：使用1inch主界面进行常规交易的用户不受本次事件影响；但曾对Trusted Volumes代理合约授权过token approvals的用户、即使不是直接使用1inch、也可能在受影响范围。安全分析公司Blockaid推测本次攻击者与2025年3月的1inch Fusion v1攻击事件、可能是同一攻击者操作。

后续可追踪的具体事件：Trusted Volumes释出悬赏金额(cointelegraph报导已开出bounty)、攻击者钱包资金流向、以及1inch是否就RFQ解算商生态的安全标准推出新的审计要求。

Disclaimer: All text and images published on this site are adapted or collected from the Internet. We do not use them for any commercial purpose, and the copyright belongs to the original author. Since we cannot contact the copyright holders for some content, please contact us to delete it if it infringes or involves illegality. Please keep the original address for reprinting: http://baxibingjiling.com/news/43c7199885.html