1inch 流動性提供商 TrustedVolumes 遭駭：670 萬美元被盜、舊攻擊者重出江湖

1inch 流動性提供商與 RFQ 訂單解算商 TrustedVolumes 5 月 7 日遭駭、損失約 670 萬美元。The Defiant 報導整理事件：攻擊者透過 TrustedVolumes 自家 RFQ 交易代理合約的公開函式註冊為「授權訂單簽署者」、再用該權限從目標錢包中清空既有授權的代幣。1inch 已對外切割—核心智慧合約、後端系統、用戶持有資金均未被觸及；漏洞位於 TrustedVolumes 自家自訂代理合約。

攻擊路徑：以授權簽署者身分濫用既有 token approvals

本次攻擊的技術細節：

漏洞點：TrustedVolumes 自家 RFQ 交易代理合約的一個公開函式

攻擊路徑：攻擊者呼叫該函式註冊為「授權訂單簽署者」（authorised order signer）

實際提款：取得授權後、利用使用者過去對該代理合約的既有 token approvals、把資金從多個錢包轉走

用戶端：不需要簽署任何新交易、單靠既有授權就被排乾

這個攻擊路徑特別值得關注的是：對用戶而言「沒有新的可疑交易簽署提示」、攻擊完全在合約層發生。這提醒 DeFi 用戶定期 revoke 不再使用的 token approvals、即使對受信任的協議也是如此。

670 萬美元損失構成：四大幣種被一次清空

被盜資產拆解：

1,291.16 顆 WETH

206,282 顆 USDT

16.939 顆 WBTC

1,268,771 顆 USDC

初期 Blockaid 通報顯示損失約 587 萬美元、TrustedVolumes 後續確認金額更新為 670 萬美元—差距來自代幣價值與後續被盜資金的進一步追蹤。

1inch 切割聲明：核心合約未受影響

1inch 對本次事件的官方回應：

1inch 自家智慧合約：未被觸及

1inch 後端系統：未被觸及

1inch 用戶持有資金：未受影響

本次漏洞位於 TrustedVolumes 自家代理合約、不是 1inch 核心基礎設施

這個切割對 DeFi 用戶的實際意義：使用 1inch 主介面進行常規交易的用戶不受本次事件影響；但曾對 TrustedVolumes 代理合約授權過 token approvals 的用戶、即使不是直接使用 1inch、也可能在受影響範圍。安全分析公司 Blockaid 推測本次攻擊者與 2025 年 3 月的 1inch Fusion v1 攻擊事件、可能是同一攻擊者操作。

後續可追蹤的具體事件：TrustedVolumes 釋出懸賞金額（cointelegraph 報導已開出 bounty）、攻擊者錢包資金流向、以及 1inch 是否就 RFQ 解算商生態的安全標準推出新的審計要求。

這篇文章 1inch 流動性提供商 TrustedVolumes 遭駭：670 萬美元被盜、舊攻擊者重出江湖 最早出現於 鏈新聞 ABMedia。