核心摘要
- 1inch Fusion 解析器 TrustedVolumes 因以太坊上的自定义交换架构漏洞损失了 670 万美元的各类加密资产。
- 此次攻击并未突破 1inch 核心协议;1inch 澄清其系统和用户资金不受影响,因为 TrustedVolumes 独立运营。
- 安全分析师将根本原因确定为签名者注册漏洞,攻击者借此获得授权并从钱包中提取资金。
返回
返回
TrustedVolumes 在 DeFi 漏洞攻击中损失 670 万美元,波及 1inch 解析器
DeFi 做市商 TrustedVolumes 在攻击者利用其以太坊上的自定义交换架构漏洞后,损失了约 670 万美元的数字资产。该公司作为 1inch Fusion 协议的解析器运营,已确认此次违规,并表示被盗资金目前存放在三个独立的以太坊钱包中。
加密安全公司 Cyvers 的高级安全运营负责人 Hakan Unal 告诉 Decrypt:“根本原因是无许可的签名者注册、失效的重放保护以及未经验证的转账来源字段的综合结果。”安全公司 Blockaid 率先标记了未经授权的活动,CertiK 随后确定了具体的攻击向量,该向量允许攻击者注册为受信签名者并提取资金。
根据 Blockaid 的数据,被盗资产包括约 1,291 枚 Wrapped Ether (WETH)、126 万枚 USDC、206,282 枚 USDT 和 16.93 枚 Wrapped Bitcoin (WBTC)。TrustedVolumes 确认了总损失,并公布了持有资金的三个钱包地址,分别包含约 300 万美元、300 万美元和 70 万美元。该公司在 X 上表示,它“愿意就漏洞赏金和双方都能接受的解决方案进行建设性沟通”。
去中心化金融聚合器 1inch 迅速与此次事件撇清关系,强调其核心协议和用户资金并未受损。TrustedVolumes 运营其独立的合约,虽然它是 1inch 的众多流动性来源之一,但此次漏洞被限制在其自身系统内。该平台在 X 上发布帖文称:“我们可以确认 1inch 及其任何协议均未参与其中,”并补充说,一些报告的措辞“极具误导性且有害”。
攻击向量与影响
该漏洞允许攻击者通过调用公共函数来获得授权许可,安全专家表示,这一缺陷本可能导致更大的损失。Cyvers 的 Unal 指出:“由于重放保护功能失效,攻击者本可以反复掏空其他已获批准的账户。”这一事件突显了依赖复杂智能合约交互的 DeFi 协议所面临的持续安全挑战。
据报道,区块链分析公司已将该攻击者与 2025 年 3 月涉及 1inch Fusion 的另一起事件联系起来,这表明存在一个针对 DeFi 生态系统内漏洞的持续活跃者。就 1inch 而言,它表示正在与安全合作伙伴合作分析该漏洞,并将调查结果纳入其持续的安全和集成流程中。
本文仅供参考,不构成投资建议。
