1inch 的 provedor de liquidez TrustedVolumes e decodificador de pedidos RFQ, TrustedVolumes, foi hackeado em 7 de maio, com perdas de cerca de US$ 6,7 milhões. A matéria da The Defiant resumiu o ocorrido: o atacante se registrou, via o próprio contrato de proxy de transações RFQ da TrustedVolumes, como “signatário de pedidos autorizado” e, em seguida, usou essa permissão para esvaziar os tokens autorizados existentes da carteira-alvo. A 1inch já se desvinculou publicamente — o contrato inteligente central, os sistemas de back-end e os fundos mantidos pelos usuários não foram afetados; a falha está no contrato de proxy personalizado da própria TrustedVolumes.
Caminho do ataque: abuso de autorizações de token existentes em nome de um “signatário de pedidos”
Detalhes técnicos deste ataque:
Ponto vulnerável: uma função pública do contrato de proxy de transações RFQ, da própria TrustedVolumes
Caminho do ataque: o atacante chama essa função para se registrar como “signatário de pedidos autorizado” (authorised order signer)
Saque efetivo: após obter a autorização, usa as autorizações de tokens existentes do usuário para com esse contrato de proxy e transfere fundos de múltiplas carteiras
Parte do usuário: não é necessário assinar nenhuma nova transação; apenas autorizações existentes já são suficientes para que os fundos sejam retirados
O que torna esse caminho de ataque especialmente digno de atenção é que, para os usuários, “não há nenhum alerta de solicitação de assinatura de transação suspeita” — o ataque acontece totalmente na camada de contratos. Isso reforça para os usuários de DeFi a importância de revogar periodicamente as autorizações de tokens que deixaram de usar, inclusive para protocolos confiáveis.
A perda de US$ 6,7 milhões corresponde ao esvaziamento de quatro grandes denominações
Detalhamento dos ativos roubados:
1.291,16 WETH
206.282 USDT
16,939 WBTC
1.268.771 USDC
No primeiro alerta, o Blockaid indicou uma perda de cerca de US$ 5,87 milhões, e a TrustedVolumes confirmou posteriormente o valor atualizado para US$ 6,7 milhões — a diferença vem do valor dos tokens e do monitoramento adicional dos fundos roubados.
Declaração de corte da 1inch: contrato central não foi afetado
Resposta oficial da 1inch para o incidente:
Contratos inteligentes da 1inch: não foram afetados
Sistemas de back-end da 1inch: não foram afetados
Fundos dos usuários da 1inch: não foram afetados
A falha deste caso está no contrato de proxy próprio da TrustedVolumes, não na infraestrutura central da 1inch
O significado prático desse corte para usuários de DeFi: usuários que usam a interface principal da 1inch para transações rotineiras não são afetados por este incidente; porém, usuários que já concederam autorizações de token ao contrato de proxy da TrustedVolumes — mesmo que não usem diretamente a 1inch — também podem estar dentro do escopo afetado. A empresa de análise de segurança Blockaid especula que o atacante deste ataque seja o mesmo responsável pelo incidente de ataque à 1inch Fusion v1 em março de 2025.
Próximos eventos específicos a serem acompanhados: a TrustedVolumes divulgará valores de recompensa (o cointelegraph já publicou o bounty), o fluxo de fundos das carteiras do atacante e se a 1inch lançará novas exigências de auditoria de padrões de segurança para o ecossistema dos decodificadores RFQ.
Este artigo “O provedor de liquidez da 1inch TrustedVolumes sofreu hack: US$ 6,7 milhões foram roubados, e o antigo atacante voltou” apareceu primeiro em 鏈新聞 ABMedia.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
ZachXBT publica recompensa $10K por LAB em meio a alegações de manipulação de mercado contra o fundador
O investigador de blockchain ZachXBT acusou Vova Sadkov, fundador do projeto de terminal de negociação com IA LAB, de manipulação de mercado e está oferecendo uma recompensa de US$ 10.000 por informações relacionadas ao suposto golpe, segundo o The Block.
Detalhes da recompensa e das acusações
ZachXBT publicou no X na quinta-feira: "$10K bounty
CryptoFrontier1h atrás
O CEO da Project Eleven alerta que US$ 2,3 trilhões em Bitcoin está em risco com computadores quânticos
Na conferência Consensus em Miami, o CEO da Project Eleven, Alex Pruden, alertou que aproximadamente US$ 2,3 trilhões em Bitcoin estão expostos a ameaças de computação quântica, pedindo que os desenvolvedores adotem, com antecedência, assinaturas de criptografia pós-quântica. Pruden destacou que a transição do Bitcoin para a criptografia quântica-
GateNews4h atrás
Arbitrum Desbloqueia $71M em ETH Após a Recuperação da Proposta de Exploit da Kelp Ganhar 90,5% de Apoio dos Votantes
De acordo com uma proposta coautoria da Aave Labs, Kelp DAO, LayerZero, EtherFi e Compound, a governança do Arbitrum votou em 7 de maio para desbloquear 30.765 ETH (aproximadamente US$ 71 milhões) que estavam congelados após o exploit da Kelp DAO. Mais de 90,5% do poder de voto, representando 173,9 milhões de tokens do Arbitrum, apoiou
GateNews6h atrás
$20M Vítima de golpe Pig Butchering entra com ação judicial contra o Citibank
Michael Zidell processa o Citibank em uma corte federal de Manhattan por $20M em transferências de pig butchering, alegando negligência em conformidade contra lavagem de dinheiro (AML) e alertas ignorados.
Resumo: O artigo descreve a ação de Michael Zidell contra o Citibank na corte federal de Manhattan, alegando que controles de AML negligentes permitiram que US$ 20 milhões fossem enviados a golpistas de pig butchering via contas ligadas a Carolyn Parker e Guju Inc. Ele enquadra o caso em meio ao aumento de golpes cripto e vulnerabilidades sistêmicas de AML entre fiat e cripto.
TodayqNews9h atrás
Hackes Cripto de agosto de 2025 custaram $163M em 16 incidentes — PeckShield
Neste agosto deste ano, o mercado cripto perdeu US$ 163 milhões em 16 grandes hacks; o maior valor perdido foi US$ 91,4 milhões por um caso individual, e a BtcTurk perdeu US$ 54 milhões.
As perdas em agosto de 2025 são 15% maiores do que o valor perdido em julho deste ano, que foi US$ 142,16 milhões; em junho, a perda coletiva
TodayqNews9h atrás
