1inch ของ مزود السيولة ومحلّل أوامر RFQ TrustedVolumes تم اختراقه في 7 مايو، بخسائر تقارب 6.7 مليون دولار. جمّعت The Defiant تفاصيل الحادثة على النحو التالي: قام المهاجمون، عبر TrustedVolumes، بتسجيل دالة عامة في عقد وكيل تداول RFQ الخاص بهم باعتبارها «موقّع أوامر مفوّض»، ثم استخدموا هذا التفويض لإفراغ الرموز الممنوحة بالفعل من محفظة الهدف. وأعلنت 1inch فصلها عن الحادث—لم تُصبّ العقود الذكية الأساسية أو الأنظمة الخلفية أو الأموال التي يحتفظ بها المستخدمون؛ وكان موضع الخلل في عقد الوكيل المخصص الخاص بـ TrustedVolumes.
مسار الهجوم: إساءة استخدام موافقات الرموز القائمة (token approvals) بوصفه «موقّع أوامر» مفوّضاً
تفاصيل تقنية محددة لهذا الهجوم:
نقطة الضعف: دالة عامة في عقد وكيل تداول RFQ المخصص الخاص بـ TrustedVolumes
مسار الهجوم: قام المهاجمون باستدعاء هذه الدالة لتسجيل أنفسهم بوصفهم «موقّع أوامر مفوّضاً» (authorised order signer)
السحب الفعلي: بعد الحصول على التفويض، استخدم المهاجمون موافقات الرموز القائمة التي سبق أن منحها المستخدمون لهذا العقد الوكيل، لتحويل الأموال من عدة محافظ
واجهة المستخدم: لا يلزم توقيع أي معاملة جديدة، إذ يتم تصريف الأموال اعتماداً على الموافقات القائمة فقط
ما يستحق اهتماماً خاصاً في مسار الهجوم هذا هو أن المستخدمين لا يحصلون على تلميحات توقيع معاملة جديدة مشبوهة؛ إذ حدث الهجوم بالكامل على مستوى العقود. وهذا يذكّر مستخدمي DeFi بأهمية إلغاء موافقات الرموز التي لم تعد تُستخدم بشكل دوري، حتى لو كانت المذكرة موجهة إلى بروتوكولات موثوقة.
تشكل خسارة 6.7 مليون دولار: تصفير أربع فئات من العملات مرة واحدة
تفكيك الأصول المسروقة:
1,291.16 من WETH
206,282 من USDT
16.939 من WBTC
1,268,771 من USDC
أظهرت البلاغات الأولية من Blockaid أن الخسارة تقارب 5.87 مليون دولار، ثم أكد TrustedVolumes لاحقاً تحديث المبلغ إلى 6.7 مليون دولار—والفارق ناتج عن قيمة الرموز والتتبع الإضافي للأموال التي تم اختراقها لاحقاً.
إعلان الفصل من 1inch: العقود الأساسية لم تتأثر
الرد الرسمي من 1inch على الحادث:
عقود 1inch الذكية: لم يتم اختراقها
أنظمة 1inch الخلفية: لم يتم اختراقها
أموال المستخدمين لدى 1inch: لم تتأثر
كان موضع الثغرة في عقد الوكيل الخاص بـ TrustedVolumes، وليس في البنية التحتية الأساسية لـ 1inch
الأهمية العملية لهذا الفصل لمستخدمي DeFi: المستخدمون الذين يجرون معاملات اعتيادية عبر واجهة 1inch الرئيسية لا يتأثرون بهذا الحادث؛ لكن المستخدمين الذين سبق أن منحوا TrustedVolumes موافقات token approvals على عقد الوكيل، حتى إن لم يكونوا يستخدمون 1inch مباشرة، قد يكونون ضمن نطاق التأثر. وتقدّر شركة تحليل الأمان Blockaid أن يكون المهاجم في هذا الهجوم هو نفسه الذي قام بعملية اختراق 1inch Fusion v1 في مارس 2025.
الأحداث اللاحقة القابلة للتتبع بشكل محدد: قيام TrustedVolumes بإطلاق مكافأة (cointelegraph ذكر أن الـ bounty تم فتحها)، واتجاه تدفقات أموال محفظة المهاجم، وما إذا كانت 1inch ستصدر معايير تدقيق جديدة فيما يتعلق بمعايير الأمان الخاصة ببيئة محللي أوامر RFQ.
هذه المقالة: اختراق مزود السيولة 1inch TrustedVolumes—سرقة 6.7 مليون دولار، وعودة مهاجم قديم إلى الواجهة ظهرت أولاً في 链新闻 ABMedia.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
زارش إكس بي تي ينشر مكافأة $10K على مؤسس LAB بشأن مزاعم التلاعب في السوق
اتهم المحقق في مجال البلوك تشين ZachXBT فوفا سادكوف، مؤسس مشروع محطة تداول بالذكاء الاصطناعي LAB، بالتلاعب بالسوق، ويعرض مكافأة قدرها 10,000 دولار مقابل معلومات تتعلق بالاحتيال المزعوم، وفقاً لصحيفة The Block.
تفاصيل المكافأة والادعاءات
نشر ZachXBT على منصة X يوم الخميس: "$10K bounty
CryptoFrontierمنذ 36 د
تحذير من الرئيس التنفيذي لشركة Project Eleven من أن بيتكوين بقيمة 2.3 تريليون دولار قد تكون في خطر بسبب الحواسيب الكمية
في مؤتمر Consensus في ميامي، حذّر الرئيس التنفيذي لشركة Project Eleven، أليكس برودن، من أن نحو 2.3 تريليون دولار بقيمة البيتكوين معرّضة لتهديدات الحوسبة الكمّية، داعيًا المطورين إلى اعتماد توقيعات التشفير ما بعد الكمّية مسبقًا. وأكّد برودن أن انتقال البيتكوين إلى التشفير الكمّي-
GateNewsمنذ 3 س
أعيدت صياغة معايير إدراج الأصول في Aave بعد استغلال $293M من KelpDAO، مع إضافة مراجعات أمنية
بحسب CoinDesk، أعلنت Aave Labs في 7 مايو أنها ستعيد كتابة معايير إدراج الأصول ومعايير مخاطر الضمانات لإضافة مراجعات لقابلية التشغيل البيني والأمن السيبراني والبنية التحتية الأساسية، إلى جانب التقييمات الحالية للأسعار والتقلبات. ويأتي هذا الإصلاح الشامل عقب هجوم في أبريل على cros KelpDAO's
GateNewsمنذ 5 س
$20M ضحية عملية الاحتيال بالذبح التدريجي ترفع دعوى قضائية ضد سيتي بنك
يقاضي مايكل زيديل بنك سيتي بنك في محكمة فيدرالية بمقاطعة مانهاتن بشأن $20M في تحويلات “الذبح بالخداع” للخيول (pig butchering)، متّهماً إياه بإهمال الامتثال لمكافحة غسل الأموال (AML) وتجاهل التنبيهات.
الملخص: يصف المقال دعوى مايكل زيديل ضد بنك سيتي بنك في محكمة فيدرالية بمقاطعة مانهاتن، إذ يزعم أن ضوابط الامتثال لمكافحة غسل الأموال على نحوٍ مُهمل سمحت بتحويل 20 مليون دولار إلى محتالين “الذبح بالخداع” عبر حسابات مرتبطة بكارولين باركر وGuju Inc. ويُؤطّر القضية في ظل تصاعد عمليات الاحتيال المرتبطة بالعملات المشفرة والثغرات البنيوية في الامتثال لـ AML بين العملات الورقية والرقمية.
TodayqNewsمنذ 8 س
تكاليف اختراقات العملات المشفرة في أغسطس 2025 تبلغ $163M عبر 16 حادثاً - PeckShield
في أغسطس من هذا العام، خسرت سوق العملات المشفرة 163 مليون دولار في 16 عملية اختراق كبرى، وكانت أعلى خسارة 91.4 مليون دولار بسبب جهة واحدة، وخسرت BtcTurk 54 مليون دولار.
تبلغ خسائر أغسطس 2025 15% أكثر من المبلغ الذي خسرته في يوليو من هذا العام، والذي بلغ 142.16 مليون دولار؛ وفي يونيو، بلغ مجموع الخسائر
TodayqNewsمنذ 8 س
