1inch 相關 Trusted Volumes 再爆漏洞：駭客疑利用 resolver 合約缺陷盜走約 587 萬美元、DeFi 無上限授權風險升溫

1inch 相關「Trusted Volumes」再爆安全漏洞，針對去中心化金融（DeFi）流動性供應結構的攻擊再度出現。攻擊者疑似利用「Trusted Volumes」*resolver（解析器）合約*中的*漏洞*，挪走包含包裝以太幣(WETH)、泰達幣(USDT)、包裝比特幣(WBTC)、USD Coin(USDC) 等多種資產，估計損失約 587 萬美元。多家區塊鏈安全公司警告，事件仍可能持續演變，並再次暴露 DeFi 生態中「*代幣授權*」與「*無上限授權*」的嚴重風險。

根據區塊鏈安全公司 Blockaid 於 24 日（當地時間）的技術通報，攻擊者透過「Trusted Volumes」*resolver* 合約中對外開放的 *public function（公開函式）*，將自己的地址登記為「*Allowed Order Signer（允許的訂單簽署者）*」。完成註冊後，攻擊者便得以調用先前使用者已經授予的*代幣授權*，在無需取得任何新簽名或額外確認的情況下，直接從受害者錢包中轉出資產。

*評論*：這意味著，只要使用者過去曾對相關合約給出授權，即便近期完全沒有與該協議互動，資產仍可能在「靜默」狀態中被轉走，充分凸顯「*長期有效* 或 *無上限授權*」的系統性風險。

Blockaid 並指出，本次「Trusted Volumes」*exploit（漏洞利用）* 很可能與 2025 年 3 月針對 1inch Fusion V1 的攻擊存在關聯。除了合約結構上被認為同樣存在*脆弱的 resolver/代理層設計*外，安全團隊還觀察到疑似相近的攻擊地址行為模式與資金流向，可能顯示為同一駭客團隊或「模仿攻擊」。

另一家區塊鏈安全機構 PeckShield 於 24 日（當地時間）發布鏈上數據，統計截至目前已確認遭竊資產包括約 1,291.16 枚 WETH、206,282 枚 USDT、16.939 枚 WBTC 以及 1,268,771 枚 USDC，按當前市價折算約為 587 萬美元。PeckShield 並標記出與本次攻擊相關的 *resolver* 合約地址，以及在 2025 年 3 月 1inch Fusion V1 事件中被點名的*高風險 proxy（代理合約）*，認為兩起事件在技術特徵上高度相似。

*評論*：從安全角度來看，這類事件凸顯出 DeFi 項目在合約升級、代理結構設計與*授權撤銷機制*上的缺陷。只要舊合約仍維持有效授權，攻擊者就可能從這些「歷史遺留」入口逐步滲透。

此次「Trusted Volumes」漏洞利用事件，是近一個月內第五起規模可觀的 DeFi 攻擊。據多家安全公司與鏈上數據平台的說法，近期 DeFi 平台頻繁遭到鎖倉資產高達數億美元級別的攻擊，包括針對 Drift Protocol 的約 2.85 億美元攻擊，以及與 Kelp DAO 相關、規模約 2.93 億美元的安全事故，都令市場情緒再度轉為謹慎。

依照 DeFi 資料平台 DefiLlama 公布的統計數據，2026 年 4 月整體被盜取的虛擬資產總額已飆升至約 6.352 億美元，創下 2025 年 Bybit 重大攻擊事件後的新高。*DeFi 安全*因而重新成為市場關注的核心變量之一，亦推動社群與安全團隊呼籲使用者主動檢視並撤銷不必要的*代幣授權*，同時要求協議方加強合約審計與*授權管理機制*設計。

*評論*：在「Trusted Volumes」與 1inch Fusion V1 相關攻擊接連曝光後，市場再度意識到：所謂「無許可、可組合」的 DeFi 優勢，若缺乏完善的*風險控管*與*授權治理*，也可能成為駭客反覆利用的薄弱環節。對一般投資者而言，定期透過錢包或第三方工具檢查與撤銷長期不用的*代幣授權*，正逐漸成為 DeFi 投資的必要基本功。