开放手游网 > 资讯 > 区块链 > 1inch流动性提供商Trusted Volumes被黑!损失670万美元WETH、USDT、USDC、WBTC

1inch流动性提供商Trusted Volumes被黑!损失670万美元WETH、USDT、USDC、WBTC

  • 作者:佚名
  • 来源:开放手游网
  • 时间:2026-05-08



1inch流动性提供商Trusted Volumes被黑!损失670万美元WETH、USDT、USDC、WBTC




  1inch流动性提供商与RFQ订单解算商Trusted Volumes5月7日遭黑、损失约670万美元。The Defiant报导整理事件:攻击者透过Trusted Volumes自家RFQ交易代理合约的公开函式注册为「授权订单签署者」、再用该权限从目标钱包中清空既有授权的代币。


  1inch已对外切割—核心智能合约、后端系统、用户持有资金均未被触及;漏洞位于Trusted Volumes自家自订代理合约。


攻击路径:以授权签署者身份滥用既有token approvals

  本次攻击的技术细节:


  •   漏洞点:Trusted Volumes自家RFQ交易代理合约的一个公开函式


  •   攻击路径:攻击者呼叫该函式注册为「授权订单签署者」(authorised order signer)


  •   实际提款:取得授权后、利用使用者过去对该代理合约的既有token approvals、把资金从多个钱包转走


  •   用户端:不需要签署任何新交易、单靠既有授权就被排干


  这个攻击路径特别值得关注的是:对用户而言「没有新的可疑交易签署提示」、攻击完全在合约层发生。这提醒DeFi用户定期revoke不再使用的token approvals、即使对受信任的协议也是如此。


670万美元损失构成:四大币种被一次清空

  被盗资产拆解:


  •   1,291.16颗WETH


  •   206,282颗USDT


  •   16.939颗WBTC


  •   1,268,771颗USDC


  初期Blockaid通报显示损失约587万美元、Trusted Volumes后续确认金额更新为670万美元—差距来自代币价值与后续被盗资金的进一步追踪。


1inch切割声明:核心合约未受影响

  1inch对本次事件的官方回应:


  •   1inch自家智能合约:未被触及


  •   1inch后端系统:未被触及


  •   1inch用户持有资金:未受影响


  •   本次漏洞位于Trusted Volumes自家代理合约、不是1inch核心基础设施


  这个切割对DeFi用户的实际意义:使用1inch主界面进行常规交易的用户不受本次事件影响;但曾对Trusted Volumes代理合约授权过token approvals的用户、即使不是直接使用1inch、也可能在受影响范围。安全分析公司Blockaid推测本次攻击者与2025年3月的1inch Fusion v1攻击事件、可能是同一攻击者操作。


  后续可追踪的具体事件:Trusted Volumes释出悬赏金额(cointelegraph报导已开出bounty)、攻击者钱包资金流向、以及1inch是否就RFQ解算商生态的安全标准推出新的审计要求。