TrustedVolumes 漏洞攻擊者從 1inch 流動性提供者挪走 670 萬美元

TrustedVolumes 作為去中心化交易所聚合器 1inch 的流動性提供商與做市商，正遭遇持續性攻擊，資金已被掏空約 670 萬美元；此資訊來自區塊鏈安全公司 Blockaid 以及 TrustedVolumes 本身的報告。Blockaid 於週三初次警示該漏洞影響 TrustedVolumes 的解析器合約（resolver contract），位於以太坊區塊鏈上。該公司於週四提供更新後的損失金額，並表示正在考慮發起獎金獵捕（bug bounty）以處理此事。1inch 也確認，其系統、基礎設施與用戶資金不受影響。

初始 Blockaid 報告

Blockaid 表示，最初被掏空的金額約為 587 萬美元，由 1,291.16 WETH、206,282 USDT、16.939 WBTC 與 1,268,771 USDC 組成。根據 Blockaid 的說法，攻擊者與 2025 年 3 月 1inch Fusion V1 的先前漏洞利用同一實體；當時該攻擊已掏空約 500 萬美元。不過，Blockaid 也指出，這次持續中的攻擊涉及的是另一種與 TrustedVolumes 控制的自訂 RFQ（request for quote，報價請求）換匯代理（swap proxy）相關的漏洞。

TrustedVolumes 回應

TrustedVolumes 於週四確認發生了該漏洞利用，並將損失金額更新為約 670 萬美元。該公司表示，將考慮發起獎金獵捕作為潛在解決方案，以應對此情況。

1inch 聲明

1inch 發布聲明澄清，其系統、基礎設施或用戶資金沒有受到影響。聲明稱：「TrustedVolumes 作為流動性提供商，會被產業中多個協議使用，並不僅限於 1inch。」聲明補充：「我們持續監控此情況，並在合適時積極與相關安全團隊協作。」

更廣泛的 DeFi 安全情境

近幾週針對 DeFi 參與者的攻擊明顯大幅增加。根據 DefiLlama 的資料，2025 年 4 月因駭客攻擊與漏洞利用被竊取的總金額達 6.352 億美元，為自 2025 年 2 月以來的最大月度總額；當時駭客從 Bybit 竊走了將近 15 億美元。近期幾起重大漏洞利用包括針對 Drift 的 2.85 億美元社交工程攻擊，以及針對 Kelp DAO 的 2.93 億美元漏洞利用。對 TrustedVolumes 的攻擊是自 5 月初以來的第五起重大漏洞利用。