TrustedVolumes, ein von mehreren DeFi-Protokollen genutzter Liquiditätsanbieter, wurde Opfer eines Exploits, der bisher rund 6,7 Millionen US-Dollar an Geldern entwendet hat.
Das Exploit-Erkennungssystem des Blockchain-Analyseunternehmens Blockaid identifizierte den betroffenen Smart Contract als den Resolver von TrustedVolumes auf Ethereum, wobei der Angreifer schätzungsweise 1.291 WETH, 206.282 USDT, 16,93 WBTC und 1,26 Millionen USDC entnahm.
Das Unternehmen kennzeichnete den Exploit als denselben Betreiber, der hinter dem 1inch Fusion V1-Vorfall vom März 2025 steckte, wobei dieses Mal eine andere Schwachstelle in einem von TrustedVolumes kontrollierten benutzerdefinierten RFQ-Swap-Proxy ausgenutzt wurde.
Ein RFQ- oder Request-for-Quote-Swap-Proxy ist ein Smart Contract, der Preisanfragen und Token-Swaps zwischen einem Market Maker und Tradern abwickelt.
TrustedVolumes bestätigte die Sicherheitsverletzung und veröffentlichte drei Wallet-Adressen, die die gestohlenen Gelder in Höhe von etwa 3 Millionen US-Dollar, 3 Millionen US-Dollar und 700.000 US-Dollar halten, und erklärte, man sei „offen für konstruktive Kommunikation bezüglich einer Bug Bounty und einer einvernehmlichen Lösung“.
🚨 We were recently exploited.
The addresses currently holding the stolen funds are:
[https://t.co/Uffg1StIhA](https://t.co/Uffg1StIhA) — approx. $3M
[https://t.co/gUCDHwOOTC](https://t.co/gUCDHwOOTC) — approx. $3M
[https://t.co/68Lu7Bq0MJ][https://t.co/68Lu7Bq0MJ] —…
— TrustedVolumes (@trustedvolumes) May 7, 2026
Hakan Unal, Senior Security Operations Lead beim Krypto-Sicherheitsunternehmen Cyvers, erklärte gegenüber Decrypt, die Ursache sei eine Kombination aus „erlaubnisfreier Signer-Registrierung, fehlerhaftem Replay-Schutz und einem unbestätigten Transfer-Quellfeld“ gewesen.
Die Mängel ermöglichten es dem Angreifer, als vertrauenswürdiger Signer zu agieren und Opfer ohne gültige Autorisierung auszurauben, wobei die Gelder über die risikoreiche No-KYC-Börse ChangeNow geleitet wurden, bevor sie in ETH getauscht wurden, fügte er hinzu.
„Der Schaden hätte weitaus größer sein können“, so Unal. „Da der Replay-Schutz nicht funktionstüchtig war, hätte der Angreifer potenziell weitere genehmigte Konten wiederholt leeren können.“
Decrypt hat TrustedVolumes um eine Stellungnahme gebeten.
Der DeFi-Aggregator 1inch wehrte sich, nachdem Berichte die Plattform direkt mit der Sicherheitsverletzung in Verbindung brachten und diese als Angriff auf das Protokoll selbst darstellten.
„Wir können bestätigen, dass weder 1inch noch eines der 1inch-Protokolle involviert sind“, twitterte 1inch. „Es gibt keine Auswirkungen auf die Systeme, die Infrastruktur oder die Nutzergelder von 1inch.“
We are aware of misleading reports relating to an exploit involving TrustedVolumes. We can confirm that neither 1inch nor any of the 1inch protocols are involved.
There is no impact on 1inch systems, infrastructure or user funds.
TrustedVolumes operate independently as a…
— 1inch (@1inch) May 7, 2026
„Aus Sicht der Überprüfung und Überwachung arbeiten wir mit unseren Sicherheitspartnern zusammen, um die Einzelheiten des Zustandekommens dieses Exploits zu verstehen, und wir werden alle relevanten Erkenntnisse in unsere laufenden Sicherheits- und Integrationsprozesse einbeziehen“, sagte ein Sprecher von 1inch gegenüber Decrypt.
Wenn ein Anbieter „nicht verfügbar oder kompromittiert ist, dienen andere den Nutzern weiterhin ohne Unterbrechung“, wobei diese „eingebaute Redundanz“ ein grundlegendes Designprinzip sei, das „in diesem Fall genau wie beabsichtigt funktionierte“, fügte der Sprecher hinzu.
„Obwohl es stimmt, dass 1inch TrustedVolumes als Resolver nutzt, sind wir einer von vielen. Die Darstellung dieser Geschichte ist letztlich verwirrend und schädlich“, twitterte 1inch-Mitbegründer Sergej Kunz.
„Was am TrustedVolumes-Vorfall auffällt, ist, dass derselbe Angreifer zweimal, Monate auseinander, gegen verschiedene Smart Contracts zugeschlagen hat“, sagte Nick Harris, Gründer und CEO der Krypto-Asset-Wiederherstellungsplattform CryptoCare, gegenüber Decrypt und beschrieb den Täter als „geduldigen, zielgerichteten Akteur“ und nicht als opportunistischen Hacker. Er warnte, dass das Überstehen eines Exploits das Risiko nicht unbedingt beendet, sondern stattdessen „ein neues eröffnen“ könne.
Der TrustedVolumes-Exploit folgt auf eine brutale Phase für DeFi, in der nordkoreanische Hacker 285 Millionen US-Dollar vom Drift Protocol entwendeten und Kelp DAO 293 Millionen US-Dollar durch einen Angriff verlor, den es auf eine kompromittierte LayerZero-Infrastruktur zurückführte.
Der Kelp-Hack hat sich seitdem vor ein US-Bundesgericht verlagert, wo Aave darum kämpft, 71 Millionen US-Dollar an eingefrorenen Nutzergeldern auf Arbitrum freizugeben.
