TrustedVolumes، یک ارائهدهنده نقدینگی که توسط چندین پروتکل دیفای استفاده میشود، قربانی یک سوءاستفاده شد که تاکنون حدود ۶.۷ میلیون دلار از وجوه آن را تخلیه کرده است.
سیستم تشخیص سوءاستفاده شرکت تحلیل بلاکچین Blockaid، قرارداد قربانی را به عنوان حلکننده TrustedVolumes در اتریوم شناسایی کرد. مهاجم تقریباً ۱,۲۹۱ واحد WETH، ۲۰۶,۲۸۲ واحد USDT، ۱۶.۹۳ واحد WBTC و ۱.۲۶ میلیون واحد USDC را استخراج کرده است.
این شرکت، سوءاستفادهکننده را همان عاملی معرفی کرد که پشت حادثه 1inch Fusion V1 در مارس ۲۰۲۵ بود و این بار از یک آسیبپذیری متفاوت در یک پروکسی سفارشی مبادله RFQ تحت کنترل TrustedVolumes بهرهبرداری کرده است.
پروکسی مبادله RFQ (درخواست قیمت) قراردادی است که نقلقولهای قیمت و مبادلات توکن را بین بازارساز و معاملهگران انجام میدهد.
TrustedVolumes این نفوذ را تأیید کرد و سه آدرس کیف پول حاوی وجوه سرقت شده، تقریباً ۳ میلیون دلار، ۳ میلیون دلار و ۷۰۰,۰۰۰ دلار را منتشر کرد و گفت که «برای ارتباط سازنده در مورد پاداش باگ و یک راهحل قابل قبول متقابل» آماده است.
🚨 We were recently exploited.
The addresses currently holding the stolen funds are:
[https://t.co/Uffg1StIhA](https://t.co/Uffg1StIhA) — approx. $3M
[https://t.co/gUCDHwOOTC](https://t.co/gUCDHwOOTC) — approx. $3M
[https://t.co/68Lu7Bq0MJ][https://t.co/68Lu7Bq0MJ] —…
— TrustedVolumes (@trustedvolumes) May 7, 2026
هاکان اونال، مدیر ارشد عملیات امنیتی در شرکت امنیتی کریپتو Cyvers، به Decrypt گفت که علت اصلی ترکیبی از «ثبت امضاکننده بدون مجوز، حفاظت تکراری (replay protection) شکسته و یک فیلد منبع انتقال اعتبارسنجی نشده» بوده است.
وی افزود که این نقصها به مهاجم اجازه داد تا به عنوان یک امضاکننده معتبر عمل کرده و قربانیان را بدون مجوز معتبر تخلیه کند، در حالی که وجوه قبل از تبدیل به ETH از طریق صرافی پرخطر بدون KYC به نام ChangeNow مسیردهی شدند.
اونال گفت: «خسارت میتوانست بسیار بیشتر باشد. با غیرفعال شدن حفاظت تکراری، مهاجم میتوانست به طور بالقوه حسابهای تأیید شده بیشتری را به طور مکرر تخلیه کند.»
Decrypt برای اظهار نظر با TrustedVolumes تماس گرفته است.
تجمعکننده دیفای ۱اینچ پس از گزارشهایی که این پلتفرم را مستقیماً به نفوذ مرتبط میکردند، عقبنشینی کرد و آن را به عنوان حملهای به خود پروتکل معرفی کرد.
۱اینچ در توییتی اعلام کرد: «ما میتوانیم تأیید کنیم که نه ۱اینچ و نه هیچیک از پروتکلهای ۱اینچ درگیر نیستند. هیچ تأثیری بر سیستمها، زیرساختها یا وجوه کاربران ۱اینچ وجود ندارد.»
We are aware of misleading reports relating to an exploit involving TrustedVolumes. We can confirm that neither 1inch nor any of the 1inch protocols are involved.
There is no impact on 1inch systems, infrastructure or user funds.
TrustedVolumes operate independently as a…
— 1inch (@1inch) May 7, 2026
سخنگوی ۱اینچ به Decrypt گفت: «از منظر بررسی و نظارت، ما در کنار شرکای امنیتی خود کار میکنیم تا جزئیات چگونگی وقوع این سوءاستفاده را درک کنیم و هر یافته مرتبطی را در فرآیندهای امنیتی و یکپارچهسازی مستمر خود بگنجانیم.»
این سخنگو افزود: «اگر یک ارائهدهنده «غیرقابل دسترس یا به خطر افتاده باشد، دیگران بدون وقفه به کاربران خدمات میدهند»، و این «قابلیت افزونگی داخلی» یک اصل طراحی اساسی است که «در این مورد دقیقاً طبق انتظار عمل کرد.»
سرگئی کونز، یکی از بنیانگذاران ۱اینچ، در توییتی نوشت: «در حالی که درست است که ۱اینچ از TrustedVolumes به عنوان یک حلکننده استفاده میکند، اما ما تنها یکی از آنها هستیم. این شیوه روایت داستان در نهایت گیجکننده و مضر است.»
نیک هریس، بنیانگذار و مدیرعامل پلتفرم بازیابی داراییهای رمزنگاری CryptoCare، به Decrypt گفت: «نکته قابل توجه در مورد حادثه TrustedVolumes این است که همان مهاجم دو بار، با فاصله ماهها، به قراردادهای مختلف حمله کرده است.» او این عامل را به جای یک هکر فرصتطلب، یک «عملیاتگر صبور و هدفمند» توصیف کرد. او هشدار داد که نجات از یک سوءاستفاده لزوماً خطر را از بین نمیبرد، بلکه ممکن است «یک خطر جدید ایجاد کند.»
سوءاستفاده از TrustedVolumes پس از یک دوره دشوار برای دیفای رخ میدهد، جایی که هکرهای کره شمالی ۲۸۵ میلیون دلار از پروتکل Drift و Kelp DAO نیز ۲۹۳ میلیون دلار در حملهای که آن را به زیرساختهای آسیبپذیر LayerZero نسبت داد، از دست دادند.
هک Kelp از آن زمان به دادگاه فدرال ایالات متحده کشیده شده است، جایی که آوه برای رفع مسدودیت ۷۱ میلیون دلار از وجوه منجمد کاربران در آربیتروم در حال مبارزه است.
