Ang TrustedVolumes, isang liquidity provider na ginagamit ng maraming protokol ng DeFi, ay tinamaan ng isang exploit na sa ngayon ay nakakuha na ng humigit-kumulang $6.7 milyon sa pondo.
Kinilala ng sistema ng pagtukoy ng exploit ng kumpanya ng analytics ng blockchain na Blockaid ang kontrata ng biktima bilang resolver ng TrustedVolumes sa Ethereum, kung saan kinuha ng attacker ang humigit-kumulang 1,291 WETH, 206,282 USDT, 16.93 WBTC, at 1.26 milyong USDC.
Itinuro ng kumpanya ang exploiter bilang parehong operator sa likod ng insidente ng 1inch Fusion V1 noong Marso 2025, na gumamit ng ibang kahinaan, sa pagkakataong ito ay sa isang custom RFQ swap proxy na kontrolado ng TrustedVolumes.
Ang RFQ, o request-for-quote, swap proxy ay isang kontrata na humahawak ng mga quote ng presyo at pagpapalit ng token sa pagitan ng isang market maker at mga trader.
Kinumpirma ng TrustedVolumes ang paglabag, naglathala ng tatlong address ng wallet na naglalaman ng mga nanakaw na pondo, humigit-kumulang $3 milyon, $3 milyon, at $700,000, at sinabing "bukas ito sa nakabubuting komunikasyon tungkol sa isang bug bounty at isang mapagkakasunduang resolusyon."
🚨 We were recently exploited.
The addresses currently holding the stolen funds are:
[https://t.co/Uffg1StIhA](https://t.co/Uffg1StIhA) — approx. $3M
[https://t.co/gUCDHwOOTC](https://t.co/gUCDHwOOTC) — approx. $3M
[https://t.co/68Lu7Bq0MJ][https://t.co/68Lu7Bq0MJ] —…
— TrustedVolumes (@trustedvolumes) May 7, 2026
Sinabi ni Hakan Unal, senior security operations lead sa kumpanya ng seguridad ng crypto na Cyvers, sa Decrypt na ang ugat ng problema ay isang kombinasyon ng "permissionless signer registration, sirang replay protection, at isang unvalidated transfer source field."
Pinayagan ng mga depekto ang attacker na kumilos bilang isang pinagkakatiwalaang signer at manakawan ang mga biktima nang walang balidong pahintulot, kung saan ang mga pondo ay dumaan sa mataas na panganib na exchange na walang KYC na ChangeNow bago ipagpalit sa ETH, dagdag niya.
"Mas malaki pa sana ang pinsala," sabi ni Unal. "Dahil hindi gumagana ang replay protection, maaaring paulit-ulit na nanakawan ng attacker ang karagdagang aprubadong account."
Nakipag-ugnayan ang Decrypt sa TrustedVolumes para sa komento.
Ang DeFi aggregator na 1inch ay tumanggi pagkatapos na iugnay ng mga ulat ang platform nang direkta sa paglabag, na binibigyang-kahulugan ito bilang isang atake sa protokol mismo.
"Makumpirma namin na ang 1inch o alinman sa mga protokol ng 1inch ay hindi kasali," tweet ng 1inch. "Walang epekto sa mga sistema, imprastraktura o pondo ng gumagamit ng 1inch."
We are aware of misleading reports relating to an exploit involving TrustedVolumes. We can confirm that neither 1inch nor any of the 1inch protocols are involved.
There is no impact on 1inch systems, infrastructure or user funds.
TrustedVolumes operate independently as a…
— 1inch (@1inch) May 7, 2026
"Mula sa pananaw ng pagsusuri at pagsubaybay, nakikipagtulungan kami sa aming mga kasosyo sa seguridad upang maunawaan ang mga detalye kung paano nangyari ang exploit na ito, at isasama namin ang anumang kaugnay na natuklasan sa aming patuloy na proseso ng seguridad at integrasyon," sabi ng isang tagapagsalita ng 1inch sa Decrypt.
Kung ang isang provider ay "hindi magagamit o nakompromiso, ang iba ay patuloy na nagbibigay serbisyo sa mga gumagamit nang walang pagkaantala," kung saan ang "built-in na redundancy" na ito ay isang pangunahing prinsipyo ng disenyo na "gumana nang eksakto ayon sa nilalayon sa kasong ito," dagdag ng tagapagsalita.
"Habang totoo na ginagamit ng 1inch ang TrustedVolumes bilang isang resolver, isa lamang kami sa marami. Ang pagbigay-kahulugan sa kuwentong ito ay sa huli ay nakakalito at nakakapinsala," tweet ng co-founder ng 1inch na si Sergej Kunz.
"Ang kapansin-pansin sa insidente ng TrustedVolumes ay ang parehong attacker ay umatake ng dalawang beses, ilang buwan ang pagitan, laban sa iba't ibang kontrata," sabi ni Nick Harris, founder at CEO ng crypto asset recovery platform na CryptoCare, sa Decrypt, na naglalarawan sa perpetrator bilang isang "pasyente, may target na operator" sa halip na isang oportunistikong hacker. Nagbabala siya na ang pagkaligtas sa isang exploit ay hindi nangangahulugang isinasara ang panganib ngunit maaaring "magbukas ng bago."
Ang exploit ng TrustedVolumes ay sumusunod sa isang brutal na panahon para sa DeFi, kung saan ang mga hacker mula sa Hilagang Korea ay nakakuha ng $285 milyon mula sa Drift Protocol at nawalan ang Kelp DAO ng $293 milyon sa isang atake na isinisi nito sa nakompromisong imprastraktura ng LayerZero.
Ang hack ng Kelp ay umabot na sa korte federal ng U.S., kung saan nakikipaglaban ang Aave upang ma-unblock ang $71 milyon sa nagyelong pondo ng user sa Arbitrum.
