1inch : le fournisseur de liquidité TrustedVolumes et son résolveur d’ordres RFQ ont été piratés le 7 mai, avec une perte d’environ 6,7 millions de dollars. The Defiant récapitule l’incident : l’attaquant s’est inscrit, via TrustedVolumes, en tant que « signataire autorisé d’ordres » (grâce aux fonctions publiques d’un contrat d’agent de transactions RFQ), puis a vidé les tokens déjà autorisés depuis les portefeuilles ciblés en utilisant ce privilège. 1inch a déjà coupé les ponts—le contrat intelligent central, les systèmes back-end et les fonds détenus par les utilisateurs n’ont pas été touchés ; la faille se situe dans le contrat d’agent personnalisé de TrustedVolumes.
Chemin d’attaque : abus de token approvals existants via l’identité de signataire d’autorisations
Détails techniques de la présente attaque :
Point de vulnérabilité : une fonction publique du contrat d’agent RFQ de TrustedVolumes
Chemin d’attaque : l’attaquant appelle cette fonction pour s’enregistrer comme « signataire autorisé d’ordres » (authorised order signer)
Retrait effectif : après avoir obtenu l’autorisation, l’attaquant utilise les token approvals existants que les utilisateurs avaient déjà donnés à ce contrat d’agent, et transfère les fonds depuis plusieurs portefeuilles
Côté utilisateur : aucune nouvelle signature de transaction n’est requise ; les fonds sont vidés uniquement grâce aux autorisations existantes
Ce chemin d’attaque est particulièrement à surveiller car, pour les utilisateurs, il n’y a « aucune notification de signature de nouvelle transaction suspecte » ; l’attaque se produit entièrement au niveau du contrat. Cela rappelle aux utilisateurs DeFi de révoquer régulièrement les token approvals qui ne sont plus utilisés, y compris pour des protocoles de confiance.
La perte de 6,7 millions de dollars correspond à un vidage en une seule fois des quatre grandes devises
Décomposition des actifs volés :
1 291,16 WETH
206 282 USDT
16,939 WBTC
1 268 771 USDC
Au départ, Blockaid indiquait une perte d’environ 5,87 millions de dollars ; TrustedVolumes a ensuite confirmé un montant mis à jour à 6,7 millions de dollars : l’écart provient de la valeur des tokens et du suivi supplémentaire des fonds ultérieurement volés.
Déclaration de séparation de 1inch : aucun impact sur le contrat central
Réponse officielle de 1inch à cet incident :
Contrat intelligent de 1inch : non affecté
Systèmes back-end de 1inch : non affectés
Fonds des utilisateurs de 1inch : non affectés
La faille de cette fois-ci se situe dans le contrat d’agent de TrustedVolumes, et non dans l’infrastructure centrale de 1inch
Signification concrète de cette séparation pour les utilisateurs DeFi : les utilisateurs effectuant des transactions régulières via l’interface principale de 1inch ne sont pas touchés par cet incident ; en revanche, les utilisateurs qui avaient autorisé des token approvals sur le contrat d’agent de TrustedVolumes, même s’ils n’utilisent pas directement 1inch, peuvent aussi se trouver dans la zone d’impact. La société d’analyse sécurité Blockaid estime que l’attaquant derrière la présente attaque pourrait être le même que celui impliqué dans l’attaque contre 1inch Fusion v1 en mars 2025.
Événements précis à suivre ensuite : TrustedVolumes publie le montant de la récompense (cointelegraph indique que le bounty est déjà lancé), les flux de fonds depuis le portefeuille de l’attaquant, et si 1inch va introduire de nouvelles exigences d’audit concernant les standards de sécurité de l’écosystème des résolveurs RFQ.
Cet article : le fournisseur de liquidité TrustedVolumes de 1inch a été piraté : 6,7 millions de dollars volés, l’ancien attaquant revient sur la scène—apparaît pour la première fois sur Chaîne d’actualités ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
La police australienne saisit 52,3 BTC d'une valeur de 4,1 millions de dollars lors d'une enquête sur le dark web et arrête 2 suspects
D’après ChainCatcher, la police de Nouvelle-Galles du Sud en Australie a saisi 52,3 Bitcoin (environ 4,1 million de dollars) et arrêté 2 suspects dans le cadre d’opérations illégales de marché sur le dark web à Ingleburn, à Sydney, après une enquête de 15 mois. La crypto-monnaie est soupçonnée d’être le produit de
GateNewsIl y a 5h
La Fed confirme un afflux de tokenisation de $25B , et signale les risques DeFi
La gouverneure de la Réserve fédérale Lisa Cook a prononcé le 8 mai 2026 un discours historique à la Conférence de la Banque centrale des États d’Afrique de l’Ouest, à Dakar, au Sénégal, dans lequel elle a évoqué la croissance rapide des actifs tokenisés aux États-Unis. Cook a confirmé que les actifs tokenisés aux États-Unis ont plus que doublé en mar
CryptoFrontierIl y a 7h
Les utilisateurs de Revolut voient une chute éclair du Bitcoin à 0,02 $ vendredi, en baisse par rapport au $79K prix mondial
D'après CoinDesk, certains utilisateurs de Revolut ont vu le prix du Bitcoin chuter jusqu’à aussi bas que 0,02 dollar le vendredi 8 mai, bien en dessous du niveau du marché mondial auquel le BTC s’échangeait près de 79 000 dollars. Le prix affiché a montré une forte baisse sur le graphique de l’application avant de remonter rapidement à des niveaux normaux. Les principales bourses suivies par
GateNewsIl y a 8h
Les investisseurs institutionnels délaissent le DEX perp à Consensus Miami, invoquant des risques de sécurité et des barrières liées au KYC
D'après CoinDesk, lors de Consensus Miami, les investisseurs institutionnels restent largement méfiants à l’égard des bourses décentralisées de contrats perpétuels (Perp DEX) en raison de risques de sécurité et d’obstacles liés à la conformité KYC. Trader Wizard of SoHo a souligné que le piratage récent du protocole Drift, impliquant des millions de dollars
GateNewsIl y a 11h
Le contrat de bibliothèque par défaut de LayerZero présente un risque $3B ; les signataires du multisignature ont participé à des échanges de jetons mèmes
Selon PANews, le mécanisme par défaut de mise à niveau du contrat de bibliothèque de LayerZero Labs présente des risques pour plus de 3 milliards de dollars de LZ OFT le 8 mai, avec 178 millions de dollars actuellement exposés à des projets utilisant encore la configuration par défaut. Le chercheur en sécurité Banteg a signalé que le contrat ne comporte aucune restriction de temps,
GateNewsIl y a 12h
L’Arbitrum DAO approuve la libération de 70 millions d’ETH pour la reprise du Kelp DAO
D'après le snapshot de vote de l'Arbitrum DAO, l'Arbitrum DAO a approuvé le déblocage de 30 765,6 ETH (environ 70 millions de dollars) pour DeFi United, une initiative créée pour atténuer l'impact de l'exploit de 292 millions de dollars sur Kelp DAO le mois dernier. La proposition a recueilli 182,2 millions de votes en sa faveur, ac
GateNewsIl y a 15h
