Ang TrustedVolumes, isang tagapagbigay ng liquidity at tagagawa ng merkado na konektado sa 1inch, ay tinamaan ng patuloy na exploit na nakakuha ng humigit-kumulang $5.87 milyon mula sa Ethereum resolver contract nito, ayon sa blockchain security firm na Blockaid.
Kasama sa mga ninakaw na asset ang 1,291.16 WETH, 206,282 USDT, 16.939 WBTC, at 1,268,771 USDC. Ang atake ay nakaapekto sa isang custom RFQ swap proxy na kontrolado ng TrustedVolumes, hindi isang karaniwang ruta ng user swap.
Sinabi ng Blockaid na ang umaatake ay ang parehong operator na konektado sa Marso 2025 1inch Fusion V1 exploit. Gayunpaman, sinabi ng firm na ang pinakahuling kaso ay gumamit ng ibang kahinaan na nakatali sa custom RFQ swap proxy ng TrustedVolumes.
Naapektuhan din ng insidente noong Marso 2025 ang mga third-party resolver na gumagamit ng 1inch Fusion V1. Kalaunan ay sinabi ng BlockSec na ang exploit na iyon ay nagdulot ng higit sa $5 milyon na pagkalugi matapos abusuhin ng mga umaatake ang hindi ligtas na paghawak ng calldata at ang pagpapalagay ng tiwala ng resolver.
Sinabi ng CertiK Alert, na sinipi ng Binance News, na ginamit ng umaatake ang isang pampublikong function upang magparehistro bilang isang AllowedOrderSigner. Pagkatapos ay isinagawa ng umaatake ang mga order na naglipat ng mga pre-authorized na pondo mula sa address ng biktima. Pinayuhan ng CertiK ang mga gumagamit na bawiin ang mga pag-apruba na naka-link sa apektadong kontrata.
Ang atake sa TrustedVolumes ay naganap matapos ang isang mahirap na Abril para sa seguridad ng DeFi. Iniulat ng Crypto.news na nawalan ang mga protokol ng higit sa $606 milyon sa unang 18 araw ng Abril lamang, batay sa data ng DefiLlama.
Ang kabuuang halaga na iyon ay pinangunahan ng dalawang malalaking kaso. Nawalan ang Drift Protocol ng humigit-kumulang $285 milyon, habang nawalan naman ang Kelp DAO ng humigit-kumulang $292 milyon. Sinabi ng Crypto.news na ang dalawang exploit na iyon ang bumubuo sa karamihan ng mga naitalang pagkalugi noong Abril sa panahong iyon.
Sa isang hiwalay na update, iniulat ng crypto.news na nawalan ang Wasabi Protocol ng higit sa $5 milyon sa Ethereum, Base, Berachain, at Blast. Sinabi ng mga security firm na isang nakompromisong admin key ang nagpahintulot sa mga umaatake na i-upgrade ang mga kontrata at kunin ang pondo.
Ang kaso ng TrustedVolumes ay nagbabalik ng atensyon sa mga resolver contract, approval system, at custom market-making tool. Ang mga sistemang ito ay madalas na nangangailangan ng mga espesyal na pahintulot upang ilipat ang mga pondo at mabilis na kumpletuhin ang mga trade.
Ang istrukturang iyon ay maaaring lumikha ng panganib kapag ang mga pahintulot ay nananatiling aktibo pagkatapos maging vulnerable ang mga kontrata. Maaari rin itong magpalaki ng pagkalugi kapag nakahanap ang mga umaatake ng paraan upang kumilos bilang mga pinagkakatiwalaang tagapirma o ilihis ang pondo sa pamamagitan ng mga aprubadong kontrata.
Ang insidente ay hindi nagpapakita na lahat ng mga user ng 1inch ay direktang naapektuhan. Ang mga magagamit na ulat ay tumutukoy sa sariling resolver at RFQ proxy setup ng TrustedVolumes bilang apektadong lugar.
