1inch 流動性提供商 และ RFQ 訂單解算商 TrustedVolumes 5 月 7 日遭โจรกรรม สูญเสียราว 6.7 ล้านดอลลาร์สหรัฐ The Defiant สรุปเหตุการณ์: ผู้โจมตีใช้การลงทะเบียน “ผู้ลงนามคำสั่งที่ได้รับอนุญาต” ผ่านสัญญาตัวแทนการเทรด RFQ ของ TrustedVolumes เอง จากนั้นใช้สิทธิ์ดังกล่าวเพื่อกวาดโทเค็นที่ได้รับการอนุมัติอยู่แล้วออกจากกระเป๋าเป้าหมาย 1inch ได้แยกส่วนชัดเจน—สัญญาอัจฉริยะหลัก ระบบฝั่งหลัง และเงินที่ผู้ใช้ถืออยู่ไม่ได้ถูกแตะต้อง และช่องโหว่อยู่ที่สัญญาตัวแทนที่ TrustedVolumes เขียนขึ้นเอง
เส้นทางการโจมตี: ใช้สิทธิ์ในฐานะผู้ลงนามคำสั่งเพื่อใช้งาน token approvals ที่มีอยู่เดิม
รายละเอียดเชิงเทคนิคของการโจมตีครั้งนี้:
จุดที่เป็นช่องโหว่: ฟังก์ชันสาธารณะของสัญญาตัวแทนการเทรด RFQ ที่ TrustedVolumes เขียนขึ้นเอง
เส้นทางการโจมตี: ผู้โจมตีเรียกใช้ฟังก์ชันดังกล่าวเพื่อลงทะเบียนเป็น “ผู้ลงนามคำสั่งที่ได้รับอนุญาต”(authorised order signer)
การถอนเงินจริง: หลังได้รับอนุญาตแล้ว ใช้ token approvals ที่ผู้ใช้เคยให้กับสัญญาตัวแทนนี้อยู่ก่อน เพื่อย้ายเงินออกจากหลายกระเป๋า
ฝั่งผู้ใช้งาน: ไม่จำเป็นต้องลงนามธุรกรรมใหม่ใดๆ แค่ใช้การอนุญาตที่มีอยู่ก็ถูกกวาดเรียบ
สิ่งที่น่าจับตาเป็นพิเศษของเส้นทางการโจมตีนี้คือ: สำหรับผู้ใช้งาน “ไม่มีคำเตือนหรือป๊อปอัปการลงนามธุรกรรมที่น่าสงสัยใหม่” การโจมตีเกิดขึ้นในระดับสัญญาเท่านั้น สิ่งนี้ย้ำให้ผู้ใช้ DeFi หมั่น revoke token approvals ที่ไม่ใช้แล้ว แม้จะเป็นโปรโตคอลที่เชื่อถือได้ก็ตาม
การสูญเสีย 6.7 ล้านดอลลาร์สหรัฐ เกิดจากการล้างโทเค็น 4 สกุลในครั้งเดียว
รายละเอียดสินทรัพย์ที่ถูกขโมย:
1,291.16 เหรียญ WETH
206,282 เหรียญ USDT
16.939 เหรียญ WBTC
1,268,771 เหรียญ USDC
การแจ้งเบื้องต้นของ Blockaid ระบุว่ามีความเสียหายราว 5.87 ล้านดอลลาร์สหรัฐ TrustedVolumes ยืนยันยอดอัปเดตเป็น 6.7 ล้านดอลลาร์สหรัฐ—ความต่างมาจากมูลค่าโทเค็นและการติดตามเงินที่ถูกขโมยเพิ่มในภายหลัง
คำชี้แจงการแยกส่วนของ 1inch: สัญญาอัจฉริยะหลักไม่ได้รับผลกระทบ
คำตอบอย่างเป็นทางการของ 1inch ต่อเหตุการณ์นี้:
สัญญาอัจฉริยะของ 1inch เอง: ไม่ได้รับผลกระทบ
ระบบหลังบ้านของ 1inch: ไม่ได้รับผลกระทบ
เงินที่ผู้ใช้ของ 1inch ถืออยู่: ไม่ได้รับผลกระทบ
ช่องโหว่ครั้งนี้อยู่ที่สัญญาตัวแทนที่ TrustedVolumes เขียนเอง ไม่ใช่โครงสร้างพื้นฐานหลักของ 1inch
ความหมายเชิงปฏิบัติสำหรับผู้ใช้ DeFi จากการแยกส่วนครั้งนี้: ผู้ใช้ที่ทำธุรกรรมตามปกติบนอินเทอร์เฟซหลักของ 1inch จะไม่ถูกกระทบจากเหตุการณ์นี้ แต่ผู้ใช้ที่เคยให้ token approvals กับสัญญาตัวแทนของ TrustedVolumes แม้จะไม่ได้ใช้ 1inch โดยตรง ก็อาจอยู่ในขอบเขตที่ได้รับผลกระทบด้วย บริษัทวิเคราะห์ความปลอดภัย Blockaid คาดว่าผู้โจมตีครั้งนี้อาจเป็นกลุ่มเดียวกับเหตุโจมตี 1inch Fusion v1 ในเดือน 3 ปี 2025
เหตุการณ์เฉพาะที่ติดตามได้ต่อ: TrustedVolumes ปล่อยรางวัลนำจับ (cointelegraph รายงานว่าได้เปิด bounty แล้ว) ทิศทางการไหลของเงินในกระเป๋าของผู้โจมตี และว่า 1inch จะออกข้อกำหนดการตรวจสอบใหม่เพื่อความปลอดภัยต่อระบบนิเวศของ RFQ order solvers หรือไม่
บทความนี้ 1inch ผู้ให้สภาพคล่อง TrustedVolumes โดนแฮ็ก: โดนขโมย 6.7 ล้านดอลลาร์สหรัฐ ผู้โจมตีรายเดิมกลับมาอีกครั้ง ปรากฏครั้งแรกใน 鏈新聞 ABMedia。
btc.bar.articles
ZachXBT โพสต์เงินรางวัล $10K สำหรับผู้ก่อตั้ง LAB หลังถูกกล่าวหาว่ามีการจัดการตลาด
นักสืบเชน ZachXBT กล่าวหาว่า Vova Sadkov ผู้ก่อตั้งโปรเจกต์เทอร์มินัลเทรดดิ้งด้วย AI ชื่อ LAB มีพฤติกรรมบิดเบือนตลาด และได้ประกาศให้รางวัลนำจับ 10,000 ดอลลาร์สำหรับข้อมูลที่เกี่ยวข้องกับข้อกล่าวหาการหลอกลวง ตามรายงานของ The Block
รายละเอียดรางวัลนำจับและข้อกล่าวหา
ZachXBT โพสต์บน X ในวันพฤหัสบดี: "$10K bounty
CryptoFrontier36 นาที ที่แล้ว
CEO ของ Project Eleven เตือนว่า Bitcoin มูลค่า $2.3T มีความเสี่ยงจากคอมพิวเตอร์ควอนตัม
ในการประชุม Consensus ที่ไมอามี ซีอีโอของ Project Eleven อย่าง Alex Pruden เตือนว่า Bitcoin มูลค่าประมาณ 2.3 ล้านล้านดอลลาร์มีความเสี่ยงที่เกี่ยวข้องกับภัยคุกคามจากการคำนวณเชิงควอนตัม พร้อมเรียกร้องให้นักพัฒนานำลายเซ็นเข้ารหัสแบบหลังควอนตัมมาใช้ล่วงหน้า Pruden เน้นย้ำว่าการเปลี่ยนผ่านของ Bitcoin ไปสู่ควอนตัมเป็น…
GateNews3 ชั่วโมง ที่แล้ว
Aave ปรับมาตรฐานการลงรายการสินทรัพย์ใหม่ หลังเหตุ $293M การโจมตีของKelpDAO พร้อมเพิ่มการทบทวนความปลอดภัย
ตามรายงานของ CoinDesk Aave Labs ประกาศเมื่อวันที่ 7 พฤษภาคมว่าจะปรับปรุงการจัดทำรายการสินทรัพย์และมาตรฐานความเสี่ยงหลักประกัน โดยจะเพิ่มการทบทวนด้านการทำงานร่วมกัน ความปลอดภัยทางไซเบอร์ และสถาปัตยกรรมพื้นฐาน นอกเหนือจากการประเมินราคาและความผันผวนที่มีอยู่แล้ว การยกเครื่องดังกล่าวเกิดขึ้นหลังจากการโจมตีเมื่อเดือนเมษายนต่อ cros ของ KelpDAO
GateNews5 ชั่วโมง ที่แล้ว
$20M เหยื่อคดีฉ้อโกงแบบ “Pig Butchering” ยื่นฟ้อง Citibank
Michael Zidell ฟ้อง Citibank ในศาลรัฐบาลกลางแมนฮัตตัน ฐาน $20M โอนเงินในรูปแบบ pig butchering โดยกล่าวหาว่าละเลยการป้องกันการฟอกเงิน (AML) และเพิกเฉยต่อการแจ้งเตือนที่ได้รับ
บทคัดย่อ: บทความนี้บรรยายคดีที่ Michael Zidell ฟ้อง Citibank ในศาลรัฐบาลกลางแมนฮัตตัน โดยอ้างว่าระบบควบคุม AML ที่บกพร่องทำให้มีการส่งเงิน 20 ล้านดอลลาร์ไปให้แก๊งจารกรรมแบบ pig butchering ผ่านบัญชีที่เชื่อมโยงกับ Carolyn Parker และ Guju Inc. โดยนำเสนอคดีนี้ท่ามกลางอาชญากรรมหลอกลวงด้านคริปโตกำลังเพิ่มขึ้น และช่องโหว่ด้าน AML ระหว่างระบบเงินคำสั่งกับคริปโตอย่างเป็นระบบ
TodayqNews8 ชั่วโมง ที่แล้ว
สิงหาคม 2025 การแฮ็กคริปโตทำให้สูญเสียมูลค่า $163M จากเหตุการณ์ 16 ครั้ง — PeckShield
ในเดือนสิงหาคมของปีนี้ ตลาดคริปโทสูญเสีย 163 ล้านดอลลาร์จากเหตุแฮกครั้งใหญ่ 16 เหตุ โดยจำนวนสูญเสียสูงสุดอยู่ที่ 91.4 ล้านดอลลาร์จากผู้กระทำรายเดียว และ BtcTurk สูญเสีย 54 ล้านดอลลาร์
ความสูญเสียในเดือนสิงหาคม 2025 มากกว่าจำนวนที่สูญเสียในเดือนกรกฎาคมของปีนี้ 15% ซึ่งอยู่ที่ 142.16 ล้านดอลลาร์; ในเดือนมิถุนายน การสูญเสียแบบกลุ่ม
TodayqNews8 ชั่วโมง ที่แล้ว
