1inch : le fournisseur de liquidité TrustedVolumes et son résolveur d’ordres RFQ ont été piratés le 7 mai, avec une perte d’environ 6,7 millions de dollars. The Defiant récapitule l’incident : l’attaquant s’est inscrit, via TrustedVolumes, en tant que « signataire autorisé d’ordres » (grâce aux fonctions publiques d’un contrat d’agent de transactions RFQ), puis a vidé les tokens déjà autorisés depuis les portefeuilles ciblés en utilisant ce privilège. 1inch a déjà coupé les ponts—le contrat intelligent central, les systèmes back-end et les fonds détenus par les utilisateurs n’ont pas été touchés ; la faille se situe dans le contrat d’agent personnalisé de TrustedVolumes.
Chemin d’attaque : abus de token approvals existants via l’identité de signataire d’autorisations
Détails techniques de la présente attaque :
Point de vulnérabilité : une fonction publique du contrat d’agent RFQ de TrustedVolumes
Chemin d’attaque : l’attaquant appelle cette fonction pour s’enregistrer comme « signataire autorisé d’ordres » (authorised order signer)
Retrait effectif : après avoir obtenu l’autorisation, l’attaquant utilise les token approvals existants que les utilisateurs avaient déjà donnés à ce contrat d’agent, et transfère les fonds depuis plusieurs portefeuilles
Côté utilisateur : aucune nouvelle signature de transaction n’est requise ; les fonds sont vidés uniquement grâce aux autorisations existantes
Ce chemin d’attaque est particulièrement à surveiller car, pour les utilisateurs, il n’y a « aucune notification de signature de nouvelle transaction suspecte » ; l’attaque se produit entièrement au niveau du contrat. Cela rappelle aux utilisateurs DeFi de révoquer régulièrement les token approvals qui ne sont plus utilisés, y compris pour des protocoles de confiance.
La perte de 6,7 millions de dollars correspond à un vidage en une seule fois des quatre grandes devises
Décomposition des actifs volés :
1 291,16 WETH
206 282 USDT
16,939 WBTC
1 268 771 USDC
Au départ, Blockaid indiquait une perte d’environ 5,87 millions de dollars ; TrustedVolumes a ensuite confirmé un montant mis à jour à 6,7 millions de dollars : l’écart provient de la valeur des tokens et du suivi supplémentaire des fonds ultérieurement volés.
Déclaration de séparation de 1inch : aucun impact sur le contrat central
Réponse officielle de 1inch à cet incident :
Contrat intelligent de 1inch : non affecté
Systèmes back-end de 1inch : non affectés
Fonds des utilisateurs de 1inch : non affectés
La faille de cette fois-ci se situe dans le contrat d’agent de TrustedVolumes, et non dans l’infrastructure centrale de 1inch
Signification concrète de cette séparation pour les utilisateurs DeFi : les utilisateurs effectuant des transactions régulières via l’interface principale de 1inch ne sont pas touchés par cet incident ; en revanche, les utilisateurs qui avaient autorisé des token approvals sur le contrat d’agent de TrustedVolumes, même s’ils n’utilisent pas directement 1inch, peuvent aussi se trouver dans la zone d’impact. La société d’analyse sécurité Blockaid estime que l’attaquant derrière la présente attaque pourrait être le même que celui impliqué dans l’attaque contre 1inch Fusion v1 en mars 2025.
Événements précis à suivre ensuite : TrustedVolumes publie le montant de la récompense (cointelegraph indique que le bounty est déjà lancé), les flux de fonds depuis le portefeuille de l’attaquant, et si 1inch va introduire de nouvelles exigences d’audit concernant les standards de sécurité de l’écosystème des résolveurs RFQ.
Cet article : le fournisseur de liquidité TrustedVolumes de 1inch a été piraté : 6,7 millions de dollars volés, l’ancien attaquant revient sur la scène—apparaît pour la première fois sur Chaîne d’actualités ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
ZachXBT publie une prime $10K visant le fondateur de LAB en lien avec des allégations de manipulation de marché
Le cryptodétective ZachXBT a accusé Vova Sadkov, fondateur du projet de terminal de trading IA LAB, de manipulation de marché et propose une prime de 10 000 dollars pour toute information liée à l’arnaque alléguée, d’après The Block.
Détails de la prime et allégations
ZachXBT a publié sur X jeudi : "$10K bounty
CryptoFrontierIl y a 36m
Le PDG de Project Eleven met en garde contre un risque de 2,3 billions de dollars de Bitcoin lié aux ordinateurs quantiques
Lors de la conférence Consensus à Miami, le PDG de Project Eleven, Alex Pruden, a averti qu’environ 2,3 billions de dollars en Bitcoin est exposé aux menaces de l’informatique quantique, appelant les développeurs à adopter dès maintenant des signatures de cryptographie post-quantique. Pruden a souligné que la transition de Bitcoin vers le quantique-
GateNewsIl y a 3h
Aave réécrit les normes d’inscription des actifs après l’exploit $293M de KelpDAO, en ajoutant des revues de sécurité
Selon CoinDesk, Aave Labs a annoncé le 7 mai qu’elle réécrirait les normes de cotation des actifs et les critères de risque de collatéral afin d’ajouter des évaluations de l’interopérabilité, de la cybersécurité et de l’architecture sous-jacente, au-delà des évaluations actuelles de prix et de volatilité. Cette refonte fait suite à une attaque d’avril contre le système cros
GateNewsIl y a 5h
$20M Une victime d’une arnaque « pig butchering » dépose une plainte contre Citibank
Michael Zidell poursuit Citibank devant la cour fédérale de Manhattan pour $20M dans des transferts liés à l'escroquerie « pig butchering », affirmant une négligence en matière de LBA/AML et des alertes ignorées.
Résumé : L’article décrit la plainte de Michael Zidell contre Citibank devant la cour fédérale de Manhattan, alléguant que des contrôles AML négligents ont permis d’envoyer 20 millions de dollars à des escrocs du « pig butchering » via des comptes liés à Carolyn Parker et à Guju Inc. L’affaire est présentée dans un contexte de hausse des arnaques crypto et de vulnérabilités systémiques entre fiat et crypto en matière de LBA/AML.
TodayqNewsIl y a 8h
Les piratages crypto d’août 2025 ont coûté $163M sur 16 incidents — PeckShield
En août cette année, le marché crypto a perdu 163 millions de dollars lors de 16 piratages majeurs. Le montant le plus élevé perdu par un seul acteur s’est élevé à 91,4 millions de dollars, et BtcTurk a perdu 54 millions de dollars.
Les pertes d’août 2025 sont supérieures de 15 % au montant perdu en juillet de cette année, soit 142,16 millions de dollars ; en juin, la perte collective
TodayqNewsIl y a 8h
