TrustedVolumes攻击者归还1,122 ETH,和解后仍保留资金
TrustedVolumes 漏洞攻击的责任方已归还 1,122 ETH,按当前价格计算价值约 200 万美元。链上监控确认,这笔转账与 2026 年 5 月 7 日的事件相关,属于部分还款。此次归还是 TrustedVolumes 原始漏洞攻击的最新进展,被盗资产当时被转换为约 2,513 ETH。TrustedVolumes 报告的总损失约为 670 万美元。初步安全评估将损失金额定为约 587 万美元,包括从项目库存中盗取的 1,291.16 WETH、206,282 USDT、16.939 WBTC 以及约 127 万 USDC。

攻击者保留了价值相当的资产,并将剩余部分称为赏金。TrustedVolumes 尚未公布完整的和解条款,也未直接确认最终的赏金金额。攻击发生后,该项目表示愿意就漏洞赏金和双方可接受的解决方案进行建设性沟通。
赏金提议在其他加密货币追回行动中也有应用,例如 BC.GAME 黑客事件中,该平台悬赏 50 万美元寻找能识别攻击者的可靠信息。与安全研究人员获得正式批准奖励的追回案例(如 Foom.cash 的 184 万美元救援行动)不同,本案中保留的金额仅由攻击者单方面称为“赏金”。
自定义 RFQ 代理导致漏洞
安全研究人员将此次事件归因于 TrustedVolumes 的自定义请求报价(RFQ)交换代理。访问控制和授权方面的弱点使攻击者能够注册一个已批准的订单签名者,并针对项目库存提交恶意订单。该合约使用订单的接收者字段来检查授权,但却从库存地址转移代币。研究人员还发现了无效的重放保护。这些漏洞共同使攻击者能够在一笔交易中盗取多种资产。
1inch 系统未受影响
存在漏洞的 RFQ 代理和库存合约由 TrustedVolumes 控制,不属于 1inch 核心聚合基础设施的一部分。1inch 表示,其协议、系统和用户资金均未受影响。该事件针对的是 TrustedVolumes 的独立做市设置,而非通过 1inch 进行的常规兑换。1,122 ETH 的转账确认了 5 月攻击事件的部分追回。然而,TrustedVolumes 尚未公开披露保留金额的计算方式,也未说明是否认为和解已达成。
