1inch-Liquiditätsanbieter und RFQ-Order-Abwickler TrustedVolumes wurde am 7. Mai gehackt und erlitt einen Verlust von rund 6,7 Millionen US-Dollar. The Defiant fasst den Vorfall zusammen: Der Angreifer registrierte sich über TrustedVolumes’ eigenen RFQ-Trade-Proxy-Vertrags-öffentlichen Funktionsaufruf als „bevollmächtigter Order-Signer“ und nutzte diese Berechtigung, um vorhandene Token-Zulassungen aus dem Ziel-Wallet zu leeren. 1inch hat sich offiziell davon distanziert – der Kern-Smart-Contract, das Backend-System sowie die vom Nutzer gehaltenen Gelder wurden nicht angegriffen; die Sicherheitslücke liegt in TrustedVolumes’ eigenem, maßgeschneiderten Proxy-Vertrag.
Angriffspfad: Missbrauch einer bestehenden Token-Approval durch den „bevollmächtigten Signer“
Technische Details dieses Angriffs:
Schwachstelle: Eine öffentliche Funktion im RFQ-Trade-Proxy-Vertrag von TrustedVolumes
Angriffspfad: Der Angreifer ruft die Funktion auf, um sich als „bevollmächtigter Order-Signer“ (authorised order signer) zu registrieren
Tatsächlicher Abzug: Nachdem der Angreifer die Berechtigung erhalten hatte, nutzte er die bereits vorhandenen token approvals des Nutzers für diesen Proxy-Vertrag, um Gelder von mehreren Wallets abzuziehen
Nutzerseite: Es sind keine neuen Signaturen für Transaktionen erforderlich – allein die bestehenden Zulassungen reichen aus, um das Guthaben abzuführen
Besonders hervorzuheben ist bei diesem Angriffspfad: Für Nutzer gibt es keine neuen auffälligen Hinweise zur Transaktionssignierung, da der Angriff vollständig auf der Vertragsebene abläuft. Das ist eine Mahnung an DeFi-Nutzer, Token-Approvals regelmäßig zu widerrufen, die nicht mehr verwendet werden – selbst wenn es sich um Zulassungen für vertrauenswürdige Protokolle handelt.
Der Verlust von 6,7 Millionen US-Dollar besteht aus: vier großen Token-Säuberungen
Aufschlüsselung der gestohlenen Assets:
1.291,16 WETH
206.282 USDT
16,939 WBTC
1.268.771 USDC
Die erste Blockaid-Meldung zeigte einen Verlust von etwa 5,87 Millionen US-Dollar; TrustedVolumes bestätigte anschließend den Betrag auf 6,7 Millionen US-Dollar – die Differenz stammt aus dem Token-Wert und der weiteren Verfolgung der gestohlenen Gelder.
1inch-Entkopplungserklärung: Kernvertrag nicht betroffen
Offizielle Reaktion von 1inch auf den Vorfall:
1inch-eigener Smart Contract: nicht betroffen
1inch-Backend-System: nicht betroffen
1inch-nutzergestützte gehaltene Gelder: nicht betroffen
Die Schwachstelle liegt im eigenen Proxy-Vertrag von TrustedVolumes, nicht in 1inch’ Kern-Infrastruktur.
Die praktische Bedeutung dieses Cut-offs für DeFi-Nutzer: Nutzer, die über die 1inch-Main-Schnittstelle reguläre Transaktionen durchführen, sind von diesem Vorfall nicht betroffen; aber Nutzer, die TrustedVolumes’ Proxy-Vertrag bereits token approvals erteilt haben, auch wenn sie nicht direkt 1inch verwenden, könnten dennoch im betroffenen Bereich liegen. Die Sicherheitsanalysefirma Blockaid vermutet, dass der Angreifer dieses Mal möglicherweise derselbe Akteur ist wie bei dem Angriff auf 1inch Fusion v1 im März 2025.
Konkrete Folgeereignisse zur weiteren Nachverfolgung: TrustedVolumes veröffentlicht eine Belohnung (cointelegraph berichtete bereits über das bounty), die Geldflüsse des Angreifer-Wallets sowie ob 1inch neue Audit-Anforderungen für den Sicherheitsstandard im Ökosystem der RFQ-Abwickler einführt.
Dieser Artikel „1inch-Liquiditätsanbieter TrustedVolumes wurde gehackt: 6,7 Millionen US-Dollar gestohlen, alter Angreifer ist zurück“ erschien zuerst auf 链新闻 ABMedia.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
Verwandte Artikel
Der CEO von Project Eleven warnt: Bitcoin im Wert von 2,3 Billionen US-Dollar ist durch Quantencomputer gefährdet
Auf der Consensus-Konferenz in Miami warnte der CEO von Project Eleven, Alex Pruden, dass rund 2,3 Billionen US-Dollar im Wert von Bitcoin quantenrechnerischen Bedrohungen ausgesetzt sind. Er forderte Entwickler auf, im Voraus Signaturen für die Post-Quantum-Kryptografie zu übernehmen. Pruden betonte, dass der Übergang von Bitcoin zu quantenre
GateNews2Std her
Aave überarbeitet die Standards für die Auflistung von Vermögenswerten nach dem $293M KelpDAO-Exploit und führt Sicherheitsüberprüfungen ein
Laut CoinDesk kündigte Aave Labs am 7. Mai an, dass es die Standards für die Listung von Assets sowie für das Kollateralrisiko umarbeiten wird, um neben den bestehenden Bewertungen von Preis und Volatilität auch Überprüfungen zur Interoperabilität, zur Cybersicherheit und zur zugrunde liegenden Architektur einzubeziehen. Das Redesign folgt auf einen Angriff im April auf KelpDAOs Cros
GateNews4Std her
$20M Opfer eines „Pig-Butchering“-Betrugs reicht Klage gegen Citibank ein
Michael Zidell verklagt Citibank vor einem Bundesgericht in Manhattan wegen $20M -Überweisungen bei Pig-Butchering, wobei er Nachlässigkeit im Bereich Geldwäschebekämpfung (AML) und ignorierte Warnmeldungen behauptet.
Zusammenfassung: Der Artikel beschreibt die Klage von Michael Zidell gegen Citibank vor einem Bundesgericht in Manhattan. Dabei wird behauptet, dass nachlässige AML-Kontrollen ermöglicht hätten, dass 20 Millionen US-Dollar an Pig-Butchering-Betrüger über Konten gesendet wurden, die mit Carolyn Parker und Guju Inc. verknüpft sind. Er ordnet den Fall ein, während gleichzeitig die Zahl von Krypto-Betrugsfällen zunimmt und es systemische Schwachstellen bei Fiat-zu-Krypto-AML gibt.
TodayqNews7Std her
August 2025 Crypto-Hacks verursachen $163M Schaden in 16 Zwischenfällen – PeckShield
Im August dieses Jahres verlor der Kryptomarkt 163 Millionen US-Dollar in 16 großen Hacks; der höchste Einzelschaden lag bei 91,4 Millionen US-Dollar, und BtcTurk verlor 54 Millionen US-Dollar.
Die Verluste im August 2025 liegen 15% über dem Betrag, der im Juli dieses Jahres verloren wurde, nämlich 142,16 Millionen US-Dollar; im Juni war der Gesamtschaden
TodayqNews7Std her
Mann aus Kalifornien zu 6,5 Jahren wegen $250M -Krypto-Diebstahlsring verurteilt
Ein Bundesrichter in Washington, D.C., verurteilte am Mittwoch den 20-jährigen Marlon Ferro, einen Einwohner aus Kalifornien, zu 78 Monaten Haft wegen seiner Rolle in einem kriminellen Netzwerk, das in den USA insgesamt mehr als 250 Millionen US-Dollar in Kryptowährungen von Opfern gestohlen hatte, wie aus Gerichtsunterlagen hervorgeht. Ferro, der betrieben hatte
CryptoFrontier9Std her
