區塊鏈安全公司Blockaid表示,與1inch相關聯的流動性提供者和市場造市商TrustedVolumes遭到持續的漏洞攻擊,其以太坊解析器合約被盜取約587萬美元。
被盜資產包括1,291.16 WETH、206,282 USDT、16.939 WBTC和1,268,771 USDC。這次攻擊影響了TrustedVolumes控制的客製化RFQ交換代理,而非標準的用戶交換路徑。
Blockaid表示,攻擊者與2025年3月發生的1inch Fusion V1漏洞攻擊的營運者是同一人。然而,該公司表示,最新案例利用了與TrustedVolumes客製化RFQ交換代理相關的不同漏洞。
2025年3月的事件也影響了使用1inch Fusion V1的第三方解析器。BlockSec後來表示,該漏洞攻擊造成了超過500萬美元的損失,因為攻擊者濫用了不安全的呼叫資料處理和解析器信任假設。
據幣安新聞引述CertiK Alert指出,攻擊者利用一個公共函數註冊為AllowedOrderSigner。隨後,攻擊者執行訂單,將預先授權的資金從受害者地址轉移。CertiK建議用戶撤銷與受影響合約相關的授權。
TrustedVolumes攻擊發生在DeFi安全艱難的4月之後。Crypto.news報導,根據DefiLlama數據,僅在4月的前18天,協議就損失了超過6.06億美元。
其中兩起大案為主因。Drift Protocol損失約2.85億美元,而Kelp DAO損失約2.92億美元。Crypto.news表示,這兩起漏洞攻擊佔了當時4月份追蹤到的大部分損失。
在另一份更新中,crypto.news報導,Wasabi Protocol在以太坊、Base、Berachain和Blast上共損失了超過500萬美元。安全公司表示,一個被洩露的管理員金鑰允許攻擊者升級合約並盜取資金。
TrustedVolumes事件再次將注意力轉向解析器合約、授權系統和客製化市場造市工具。這些系統通常需要特殊權限才能快速移動資金並完成交易。
當權限在合約變得脆弱後仍保持活躍時,這種結構可能產生風險。當攻擊者找到方法充當受信任的簽名者或透過經批准的合約路由資金時,也可能導致更大的損失。
此事件並未顯示所有1inch用戶都直接受到影響。現有報告指出,受影響的區域是TrustedVolumes自己的解析器和RFQ代理設置。
