O fornecedor de liquidez da 1inch, TrustedVolumes, foi pirateado: foram roubados 6,7 milhões de dólares, e o antigo atacante regressa à cena

1inch 流idity providers e o resolvedor de ordens RFQ TrustedVolumes sofreram um ataque a 7 de Maio, com perdas de cerca de 6,7 milhões de dólares. A reportagem da The Defiant resume o sucedido: os atacantes, através do próprio TrustedVolumes, registaram-se como “autorizados para assinar ordens” na função pública do contrato de agente de negociação de RFQ; de seguida, usaram essa permissão para esvaziar os tokens já autorizados na carteira-alvo. A 1inch cortou publicamente as ligações—os contratos inteligentes centrais, os sistemas de back-end e os fundos detidos pelos utilizadores não foram afetados; a falha está no contrato de agente personalizado do próprio TrustedVolumes.

Caminho do ataque: abuso do estatuto de signatário de autorizações para esvaziar autorizações existentes

Pormenores técnicos deste ataque:

Ponto da vulnerabilidade: uma função pública do contrato de agente de negociação RFQ do próprio TrustedVolumes

Caminho do ataque: o atacante chama essa função para se registar como “signatário autorizado de ordens” (authorised order signer)

Levantamento efetivo: após obter a autorização, usa as autorizações de tokens existentes que o utilizador já tinha dado a esse contrato de agente, transferindo os fundos de várias carteiras

Parte do cliente: não é necessário assinar quaisquer novas transações; basta que as autorizações existentes sejam suficientes para que tudo seja esvaziado

O caminho de ataque que merece especial atenção é que, para os utilizadores, “não há qualquer alerta de pedido de assinatura de uma transação nova”; o ataque dá-se totalmente ao nível do contrato. Isto é um lembrete para os utilizadores de DeFi revogarem periodicamente as autorizações de tokens que já não usam, mesmo quando se trata de protocolos considerados fiáveis.

Perda de 6,7 milhões de dólares significa: quatro principais criptomoedas esvaziadas de uma só vez

Desagregação dos ativos roubados:

1.291,16 WETH

206.282 USDT

16,939 WBTC

1.268.771 USDC

O aviso inicial da Blockaid indicava perdas de cerca de 5,87 milhões de dólares; o TrustedVolumes confirmou mais tarde o valor actualizado para 6,7 milhões de dólares—a diferença resulta do valor em tokens e do seguimento adicional dos fundos roubados.

Declaração de corte da 1inch: contratos centrais não foram afetados

Resposta oficial da 1inch ao caso:

Contrato inteligente da 1inch: não foi atingido

Sistema de back-end da 1inch: não foi atingido

Fundos detidos pelos utilizadores da 1inch: não foram afetados

A vulnerabilidade deste incidente está no contrato de agente do próprio TrustedVolumes, não na infraestrutura central da 1inch.

O significado prático deste corte para utilizadores DeFi: utilizadores que efectuam transações regulares através da interface principal da 1inch não são afetados por este incidente; contudo, utilizadores que já tinham concedido token approvals ao contrato de agente do TrustedVolumes, mesmo que não usem directamente a 1inch, podem estar dentro do âmbito afetado. A empresa de análise de segurança Blockaid estima que o atacante deste ataque possa ser o mesmo que esteve por trás do ataque ao 1inch Fusion v1 em Março de 2025.

Eventos concretos que poderão ser acompanhados a seguir: o TrustedVolumes divulgou um montante de recompensa (cointelegraph já anunciou a abertura de bounty), o fluxo de fundos da carteira do atacante e se a 1inch vai impor novos requisitos de auditoria para o ecossistema dos resolvedores de RFQ.

Este artigo sobre o ataque ao fornecedor de liquidez da 1inch, TrustedVolumes: roubados 6,7 milhões de dólares, antigo atacante volta à cena, apareceu pela primeira vez em 鏈新聞 ABMedia.