欧E交易APP下载

币圈子(120btc.CoM)：1inch流动性提供商与RFQ订单解算商Trusted Volumes5月7日遭黑、被黑欧E交易APP下载损失约670万美元。损失The 流动Defiant报导整理事件：攻击者透过Trusted Volumes自家RFQ交易代理合约的公开函式注册为「授权订单签署者」、再用该权限从目标钱包中清空既有授权的性提代币。

1inch已对外切割—核心智能合约、供商后端系统、被黑用户持有资金均未被触及；漏洞位于Trusted Volumes自家自订代理合约。损失

攻击路径：以授权签署者身份滥用既有token approvals

本次攻击的技术细节：

• 漏洞点：Trusted Volumes自家RFQ交易代理合约的一个公开函式

• 攻击路径：攻击者呼叫该函式注册为「授权订单签署者」(authorised order signer)

• 实际提款：取得授权后、利用使用者过去对该代理合约的既有token approvals、把资金从多个钱包转走

• 用户端：不需要签署任何新交易、单靠既有授权就被排干

这个攻击路径特别值得关注的是：对用户而言「没有新的可疑交易签署提示」、攻击完全在合约层发生。这提醒DeFi用户定期revoke不再使用的token approvals、即使对受信任的协议也是如此。

670万美元损失构成：四大币种被一次清空

被盗资产拆解：

• 1,291.16颗WETH

• 206,282颗USDT

• 16.939颗WBTC

• 1,268,771颗USDC

初期Blockaid通报显示损失约587万美元、Trusted Volumes后续确认金额更新为670万美元—差距来自代币价值与后续被盗资金的进一步追踪。

1inch切割声明：核心合约未受影响

1inch对本次事件的官方回应：

• 1inch自家智能合约：未被触及

• 1inch后端系统：未被触及

• 1inch用户持有资金：未受影响

• 本次漏洞位于Trusted Volumes自家代理合约、不是1inch核心基础设施

这个切割对DeFi用户的实际意义：使用1inch主界面进行常规交易的用户不受本次事件影响；但曾对Trusted Volumes代理合约授权过token approvals的用户、即使不是直接使用1inch、也可能在受影响范围。安全分析公司Blockaid推测本次攻击者与2025年3月的1inch Fusion v1攻击事件、可能是同一攻击者操作。

后续可追踪的具体事件：Trusted Volumes释出悬赏金额(cointelegraph报导已开出bounty)、攻击者钱包资金流向、以及1inch是否就RFQ解算商生态的安全标准推出新的审计要求。

WETH1INCHWBTCUSDCUSDT

Tags: