核心摘要
- 1inch Fusion 解析器 TrustedVolumes 因以太坊上的自定義交換架構漏洞損失了 670 萬美元的各類加密資產。
- 此次攻擊並未突破 1inch 核心協議;1inch 澄清其系統和用戶資金不受影響,因為 TrustedVolumes 獨立運營。
- 安全分析師將根本原因確定為簽名者註冊漏洞,攻擊者藉此獲得授權並從錢包中提取資金。
返回
返回
TrustedVolumes 在 DeFi 漏洞攻擊中損失 670 萬美元,波及 1inch 解析器
DeFi 做市商 TrustedVolumes 在攻擊者利用其以太坊上的自定義交換架構漏洞後,損失了約 670 萬美元的數位資產。該公司作為 1inch Fusion 協議的解析器運營,已確認此次違規,並表示被盜資金目前存放在三個獨立的以太坊錢包中。
加密安全公司 Cyvers 的高級安全運營負責人 Hakan Unal 告訴 Decrypt:「根本原因是無許可的簽名者註冊、失效的重放保護以及未經驗證的轉帳來源欄位的綜合結果。」安全公司 Blockaid 率先標記了未經授權的活動,CertiK 隨後確定了具體的攻擊向量,該向量允許攻擊者註冊為受信簽名者並提取資金。
根據 Blockaid 的數據,被盜資產包括約 1,291 枚 Wrapped Ether (WETH)、126 萬枚 USDC、206,282 枚 USDT 和 16.93 枚 Wrapped Bitcoin (WBTC)。TrustedVolumes 確認了總損失,並公佈了持有資金 sponsor 的三個錢包地址,分別包含約 300 萬美元、300 萬美元和 70 萬美元。該公司在 X 上表示,它「願意就漏洞賞金和雙方都能接受的解決方案進行建設性溝通」。
去中心化金融聚合器 1inch 迅速與此次事件撇清關係,強調其核心協議和用戶資金並未受損。TrustedVolumes 運營其獨立的合約,雖然它是 1inch 的眾多流動性來源之一,但此次漏洞被限制在其自身系統內。該平台在 X 上發佈帖文稱:「我們可以確認 1inch 及其任何協議均未參與其中,」並補充說,一些報告的措辭「極具誤導性且有害」。
攻擊向量與影響
該漏洞允許攻擊者通過調用公共函數來獲得授權許可,安全專家表示,這一缺陷本可能導致更大的損失。Cyvers 的 Unal 指出:「由於重放保護功能失效,攻擊者本可以反覆掏空其他已獲批准的帳戶。」這一事件突顯了依賴複雜智能合約交互的 DeFi 協議所面臨的持續安全挑戰。
據報導,區塊鏈分析公司已將該攻擊者與 2025 年 3 月涉及 1inch Fusion 的另一起事件聯繫起來,這表明存在一個針對 DeFi 生態系統內漏洞的持續活躍者。就 1inch 而言,它表示正在與安全合作夥伴合作分析該漏洞,並將調查結果納入其持續的安全和集成流程中。
本文僅供參考,不構成投資建議。
