1inch постачальник ліквідності TrustedVolumes зазнав зламу: викрадено 6,7 млн доларів, колишній атакувальник повернувся

1inch 流ідний постачальник і RFQ-розрахунковий підрядник TrustedVolumes 7 травня зазнав злому, втративши приблизно 6,7 млн доларів. The Defiant зібрав ключові деталі події: атакувальник через TrustedVolumes зареєструвався як «уповноважений підписант замовлень» у власному RFQ-трейдинговому проксі-контракті, а потім, використовуючи ці повноваження, очистив уже надані дозволи на токени в цільовому гаманці. 1inch вже відрізав — основний смартконтракт, бекенд-системи та кошти, що належать користувачам, не були зачеплені; вразливість знаходиться в кастомному проксі-контракті TrustedVolumes.

Шлях атаки: зловживання наявними token approvals від імені upовноваженого підписанта

Технічні деталі цієї атаки:

Місце вразливості: публічна функція в власному RFQ-трейдинговому проксі-контракті TrustedVolumes

Шлях атаки: атакувальник викликає цю функцію, реєструючись як «уповноважений підписант замовлень» (authorised order signer)

Фактичне виведення коштів: після отримання дозволу використовується наявний token approvals, який користувачі раніше видали цьому проксі-контракту, щоб переказати кошти з кількох гаманців

Клієнтський сценарій: не потрібно підписувати жодну нову транзакцію — достатньо лише наявних дозволів

Особливо важливо в цьому шляху атаки те, що для користувача відсутні «підказки про нові підозрілі транзакції під час підписання» — атака повністю відбувається на рівні контрактів. Це нагадування DeFi-користувачам регулярно revoke токен-дозволи, які більше не використовуються, навіть якщо йдеться про «довірені» протоколи.

Втрата в 6,7 млн доларів складається з очищення чотирьох основних активів за один раз

Розбір викрадених коштів:

1,291.16 WETH

206,282 USDT

16.939 WBTC

1,268,771 USDC

Початкове сповіщення Blockaid показало збитки приблизно на 5,87 млн доларів, а TrustedVolumes пізніше підтвердив суму на рівні 6,7 млн доларів — різниця зумовлена вартістю токенів і подальшим відстеженням викрадених коштів.

Заява 1inch про відокремлення: ключові контракти не постраждали

Офіційна відповідь 1inch на інцидент:

Власні смартконтракти 1inch: не були порушені

Бекенд-системи 1inch: не були порушені

Кошти користувачів 1inch: не були порушені

Ця вразливість знаходиться в проксі-контракті TrustedVolumes, а не в базовій інфраструктурі 1inch

Практичне значення цього розділення для DeFi-користувачів: користувачі, які здійснюють звичайні транзакції через основний інтерфейс 1inch, не постраждали від цього інциденту; втім, користувачі, які раніше надавали token approvals проксі-контракту TrustedVolumes, навіть якщо вони напряму не використовували 1inch, можуть потрапити в зону ризику. Служба безпекового аналізу Blockaid припускає, що цього разу атакувальник може бути тим самим, що й у події атаки на 1inch Fusion v1 у березні 2025 року, або ж діє в схожому ключі.

Подальші конкретні події, які можна відстежити: TrustedVolumes опублікував суму винагороди (cointelegraph уже повідомляв про відкриття bounty), напрями руху коштів у гаманцях атакувальника, а також чи 1inch запровадить нові вимоги до безпеки/аудиту для екосистеми RFQ-розрахункових підрядників.

Ця стаття про те, що лендінговий постачальник 1inch TrustedVolumes зазнав злому: вкрадено 6,7 млн доларів, а колишній атакувальник знову повернувся, вперше з’явилася на Схенові новин ABMedia.