TrustedVolumes, un fournisseur de liquidité utilisé par plusieurs protocoles DeFi, a été victime d'un exploit qui a jusqu'à présent siphonné environ 6,7 millions de dollars de fonds.
Le système de détection d'exploit de la société d'analyse blockchain Blockaid a identifié le contrat victime comme étant le résolveur de TrustedVolumes sur Ethereum, l'attaquant ayant extrait environ 1 291 WETH, 206 282 USDT, 16,93 WBTC et 1,26 million USDC.
La société a identifié l'exploiteur comme étant le même opérateur derrière l'incident 1inch Fusion V1 de mars 2025, exploitant une vulnérabilité différente, cette fois dans un proxy de swap RFQ personnalisé contrôlé par TrustedVolumes.
Un proxy de swap RFQ, ou demande de cotation, est un contrat qui gère les cotations de prix et les échanges de jetons entre un teneur de marché et des traders.
TrustedVolumes a confirmé la violation, publiant trois adresses de portefeuille détenant les fonds volés, soit environ 3 millions de dollars, 3 millions de dollars et 700 000 dollars, et a déclaré être « ouvert à une communication constructive concernant une prime de bug et une résolution mutuellement acceptable ».
🚨 We were recently exploited.
The addresses currently holding the stolen funds are:
[https://t.co/Uffg1StIhA](https://t.co/Uffg1StIhA) — approx. $3M
[https://t.co/gUCDHwOOTC](https://t.co/gUCDHwOOTC) — approx. $3M
[https://t.co/68Lu7Bq0MJ][https://t.co/68Lu7Bq0MJ] —…
— TrustedVolumes (@trustedvolumes) May 7, 2026
Hakan Unal, responsable principal des opérations de sécurité chez Cyvers, une entreprise de sécurité crypto, a déclaré à Decrypt que la cause profonde était une combinaison de « l'enregistrement de signataire sans autorisation, une protection anti-rejeu défectueuse et un champ de source de transfert non validé ».
Les failles ont permis à l'attaquant d'agir comme un signataire de confiance et de siphonner des victimes sans autorisation valide, les fonds étant acheminés via l'échange à haut risque sans KYC ChangeNow avant d'être échangés contre de l'ETH, a-t-il ajouté.
« Les dommages auraient pu être bien plus importants », a déclaré Unal. « Avec une protection anti-rejeu non fonctionnelle, l'attaquant aurait pu potentiellement siphonner des comptes approuvés supplémentaires à plusieurs reprises ».
Decrypt a contacté TrustedVolumes pour un commentaire.
L'agrégateur DeFi 1inch a riposté après que des rapports ont lié la plateforme directement à la violation, la présentant comme une attaque contre le protocole lui-même.
« Nous pouvons confirmer que ni 1inch ni aucun des protocoles 1inch ne sont impliqués », a tweeté 1inch. « Il n'y a aucun impact sur les systèmes, l'infrastructure ou les fonds des utilisateurs de 1inch ».
We are aware of misleading reports relating to an exploit involving TrustedVolumes. We can confirm that neither 1inch nor any of the 1inch protocols are involved.
There is no impact on 1inch systems, infrastructure or user funds.
TrustedVolumes operate independently as a…
— 1inch (@1inch) May 7, 2026
« Du point de vue de la vérification et de la surveillance, nous travaillons avec nos partenaires de sécurité pour comprendre les détails de la façon dont cet exploit s'est produit, et nous intégrerons toutes les conclusions pertinentes dans nos processus de sécurité et d'intégration continus », a déclaré un porte-parole de 1inch à Decrypt.
Si un fournisseur est « indisponible ou compromis, d'autres continuent à servir les utilisateurs sans interruption », cette « redondance intégrée » étant un principe de conception fondamental qui « a fonctionné exactement comme prévu dans ce cas », a ajouté le porte-parole.
« Bien qu'il soit vrai que 1inch utilise TrustedVolumes comme résolveur, nous en sommes un parmi beaucoup d'autres. La façon dont cette histoire est présentée est finalement déroutante et nuisible », a tweeté Sergej Kunz, co-fondateur de 1inch.
« Ce qui est frappant dans l'incident de TrustedVolumes, c'est que le même attaquant a frappé deux fois, à plusieurs mois d'intervalle, contre des contrats différents », a déclaré Nick Harris, fondateur et PDG de la plateforme de récupération d'actifs crypto CryptoCare, à Decrypt, décrivant l'auteur comme un « opérateur patient et ciblé » plutôt qu'un pirate opportuniste. Il a averti que survivre à un exploit ne ferme pas nécessairement le risque mais peut plutôt « en ouvrir un nouveau ».
L'exploit de TrustedVolumes fait suite à une période brutale pour la DeFi, avec des pirates nord-coréens qui ont siphonné 285 millions de dollars de Drift Protocol et Kelp DAO perdant 293 millions de dollars lors d'une attaque qu'il a imputée à une infrastructure LayerZero compromise.
Le piratage de Kelp a depuis débouché sur une procédure devant un tribunal fédéral américain, où Aave se bat pour débloquer 71 millions de dollars de fonds d'utilisateurs gelés sur Arbitrum.
