1inch 流動性提供商 TrustedVolumes 遭駭：670 萬美元被盜、舊攻擊者重出江湖

1inch 流動性提供商與 RFQ 訂單解算商 TrustedVolumes 5 月 7 日遭駭、損失約 670 萬美元。The Defiant 報導整理事件：攻擊者透過 TrustedVolumes 自家 RFQ 交易代理合約的公開函式註冊為「授權訂單簽署者」、再用該權限從目標錢包中清空既有授權的代幣。1inch 已對外切割—核心智慧合約、後端系統、用戶持有資金均未被觸及；漏洞位於 TrustedVolumes 自家自訂代理合約。

攻擊路徑：以授權簽署者身分濫用既有 token approvals

本次攻擊的技術細節：

• 漏洞點：TrustedVolumes 自家 RFQ 交易代理合約的一個公開函式
• 攻擊路徑：攻擊者呼叫該函式註冊為「授權訂單簽署者」（authorised order signer）
• 實際提款：取得授權後、利用使用者過去對該代理合約的既有 token approvals、把資金從多個錢包轉走
• 用戶端：不需要簽署任何新交易、單靠既有授權就被排乾

這個攻擊路徑特別值得關注的是：對用戶而言「沒有新的可疑交易簽署提示」、攻擊完全在合約層發生。這提醒 DeFi 用戶定期 revoke 不再使用的 token approvals、即使對受信任的協議也是如此。

670 萬美元損失構成：四大幣種被一次清空

被盜資產拆解：

• 1,291.16 顆 WETH
• 206,282 顆 USDT
• 16.939 顆 WBTC
• 1,268,771 顆 USDC

初期 Blockaid 通報顯示損失約 587 萬美元、TrustedVolumes 後續確認金額更新為 670 萬美元—差距來自代幣價值與後續被盜資金的進一步追蹤。

1inch 切割聲明：核心合約未受影響

1inch 對本次事件的官方回應：

• 1inch 自家智慧合約：未被觸及
• 1inch 後端系統：未被觸及
• 1inch 用戶持有資金：未受影響
• 本次漏洞位於 TrustedVolumes 自家代理合約、不是 1inch 核心基礎設施

這個切割對 DeFi 用戶的實際意義：使用 1inch 主介面進行常規交易的用戶不受本次事件影響；但曾對 TrustedVolumes 代理合約授權過 token approvals 的用戶、即使不是直接使用 1inch、也可能在受影響範圍。安全分析公司 Blockaid 推測本次攻擊者與 2025 年 3 月的 1inch Fusion v1 攻擊事件、可能是同一攻擊者操作。

後續可追蹤的具體事件：TrustedVolumes 釋出懸賞金額（cointelegraph 報導已開出 bounty）、攻擊者錢包資金流向、以及 1inch 是否就 RFQ 解算商生態的安全標準推出新的審計要求。