1inch nhà cung cấp thanh khoản và bên giải toán đơn RFQ TrustedVolumes bị tấn công vào ngày 7 tháng 5, thiệt hại khoảng 6,7 triệu đô la Mỹ. The Defiant tổng hợp diễn biến: kẻ tấn công đăng ký thông qua TrustedVolumes một hợp đồng đại lý RFQ công khai của chính họ bằng danh nghĩa “đơn ký kết được ủy quyền”, rồi dùng quyền đó để rút sạch các token đã được ủy quyền sẵn trong ví mục tiêu. 1inch đã tách bạch—không bị ảnh hưởng đến hợp đồng thông minh cốt lõi, hệ thống phía sau hay số vốn người dùng nắm giữ; lỗ hổng nằm ở hợp đồng đại lý do chính TrustedVolumes tùy biến.
Lộ trình tấn công: lạm dụng token approvals hiện có với thân phận authorised order signer
Chi tiết kỹ thuật của cuộc tấn công này:
Điểm lỗ hổng: một hàm công khai trong hợp đồng đại lý giao dịch RFQ do TrustedVolumes tự xây dựng
Lộ trình tấn công: kẻ tấn công gọi hàm đó để đăng ký thành “authorized order signer”
Thực tế rút tiền: sau khi có quyền, kẻ tấn công dùng các token approvals sẵn có mà người dùng trước đó đã cấp cho hợp đồng đại lý này, chuyển tiền từ nhiều ví đi
Người dùng gặp phải: không cần ký bất kỳ giao dịch mới nào, chỉ dựa vào các ủy quyền sẵn có đã bị rút sạch
Điều đáng chú ý đặc biệt ở lộ trình tấn công này là: đối với người dùng, “không có cảnh báo khi ký giao dịch đáng ngờ mới”, và toàn bộ diễn ra ở lớp hợp đồng. Điều này nhắc người dùng DeFi thường xuyên revoke các token approvals không còn dùng, kể cả với các giao thức được tin cậy.
Tổng thiệt hại 6,7 triệu đô la Mỹ tương ứng: bị xóa sạch một lần với 4 loại đồng
Phân tích tài sản bị đánh cắp:
1,291,16 WETH
206,282 USDT
16,939 WBTC
1,268,771 USDC
Thông báo ban đầu của Blockaid cho thấy thiệt hại khoảng 5,87 triệu đô la Mỹ, sau đó TrustedVolumes xác nhận lại con số cập nhật lên 6,7 triệu đô la Mỹ—khoảng chênh đến từ giá trị token và việc theo dõi thêm dòng tiền bị đánh cắp.
Tuyên bố cắt rời của 1inch: hợp đồng lõi không bị ảnh hưởng
Phản hồi chính thức của 1inch đối với sự việc này:
Hợp đồng thông minh của 1inch: không bị ảnh hưởng
Hệ thống phía sau của 1inch: không bị ảnh hưởng
Tiền do người dùng 1inch nắm giữ: không bị ảnh hưởng
Lỗ hổng trong lần này nằm ở hợp đồng đại lý do TrustedVolumes tự vận hành, không phải hạ tầng cốt lõi của 1inch.
Ý nghĩa thực tế của việc “cắt rời” này đối với người dùng DeFi: người dùng thực hiện giao dịch thường lệ trên giao diện chính của 1inch không bị ảnh hưởng bởi sự việc lần này; tuy nhiên người dùng đã từng ủy quyền token approvals cho hợp đồng đại lý của TrustedVolumes, dù không trực tiếp dùng 1inch, cũng có thể nằm trong phạm vi bị tác động. Công ty phân tích an ninh Blockaid suy đoán kẻ tấn công trong lần này có thể là cùng một tác nhân đứng sau vụ tấn công 1inch Fusion v1 vào tháng 3 năm 2025.
Các diễn biến cụ thể có thể tiếp tục theo dõi: TrustedVolumes công bố giá trị tiền thưởng (cointelegraph đã mở bounty), dòng tiền từ ví của kẻ tấn công, và việc liệu 1inch có đưa ra yêu cầu kiểm toán mới đối với các tiêu chuẩn an ninh trong hệ sinh thái bên giải toán RFQ hay không.
Bài viết 1inch nhà cung cấp thanh khoản TrustedVolumes bị hack: 6,7 triệu đô la Mỹ bị đánh cắp, kẻ tấn công cũ lại tái xuất lần đầu xuất hiện trên 鏈新聞 ABMedia.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
