TrustedVolumes, कई DeFi प्रोटोकॉल द्वारा उपयोग किया जाने वाला एक लिक्विडिटी प्रोवाइडर, एक शोषण का शिकार हुआ है जिससे अब तक लगभग $6.7 मिलियन की धनराशि निकाली जा चुकी है।

ब्लॉकचैन एनालिटिक्स फर्म ब्लॉक्सैड के शोषण डिटेक्शन सिस्टम ने पीड़ित कॉन्ट्रैक्ट को एथेरियम पर TrustedVolumes के रिजॉल्वर के रूप में पहचाना, जिसमें हमलावर ने लगभग 1,291 WETH, 206,282 USDT, 16.93 WBTC, और 1.26 मिलियन USDC निकाले।

फर्म ने इस शोषणकर्ता को मार्च 2025 के 1inch Fusion V1 घटना के पीछे का वही ऑपरेटर बताया, जिसने इस बार TrustedVolumes द्वारा नियंत्रित एक कस्टम RFQ स्वैप प्रॉक्सी में एक अलग भेद्यता का लाभ उठाया।

एक RFQ, या रिक्वेस्ट-फॉर-कोट, स्वैप प्रॉक्सी एक कॉन्ट्रैक्ट होता है जो मार्केट मेकर और ट्रेडर्स के बीच मूल्य उद्धरणों और टोकन स्वैप को संभालता है।

TrustedVolumes ने उल्लंघन की पुष्टि की, चुराए गए फंडों को रखने वाले तीन वॉलेट पते प्रकाशित किए, जिनकी अनुमानित राशि $3 मिलियन, $3 मिलियन और $700,000 थी, और कहा कि यह "बग बाउंटी और पारस्परिक रूप से स्वीकार्य समाधान के संबंध में रचनात्मक संचार के लिए खुला है।"

क्रिप्टो सुरक्षा फर्म साइबर्स के वरिष्ठ सुरक्षा संचालन प्रमुख हकन उनल ने डीक्रिप्ट को बताया कि मूल कारण "अनुमति रहित हस्ताक्षरकर्ता पंजीकरण, टूटी हुई रिप्ले सुरक्षा, और एक अमान्य ट्रांसफर स्रोत फ़ील्ड" का संयोजन था।

इन कमियों ने हमलावर को एक विश्वसनीय हस्ताक्षरकर्ता के रूप में कार्य करने और वैध प्राधिकरण के बिना पीड़ितों से फंड निकालने की अनुमति दी, जिसमें फंड को ईटीएच में बदलने से पहले उच्च जोखिम वाले नो-केवाईसी एक्सचेंज चेंजनाउ के माध्यम से रूट किया गया था, उन्होंने कहा।

उनल ने कहा, "नुकसान बहुत अधिक हो सकता था।" "रिप्ले सुरक्षा के काम न करने के कारण, हमलावर संभावित रूप से अतिरिक्त अनुमोदित खातों को बार-बार खाली कर सकता था।"

डिक्रिप्ट ने टिप्पणी के लिए TrustedVolumes से संपर्क किया है।

1inch ने खुद को अलग किया

DeFi एग्रीगेटर 1inch ने उन रिपोर्टों के बाद खंडन किया, जिन्होंने प्लेटफॉर्म को सीधे उल्लंघन से जोड़ा था, इसे प्रोटोकॉल पर ही एक हमले के रूप में दर्शाया गया था।

“हम पुष्टि कर सकते हैं कि न तो 1inch और न ही किसी भी 1inch प्रोटोकॉल इसमें शामिल हैं,” 1inch ने ट्वीट किया। “1inch सिस्टम, इंफ्रास्ट्रक्चर या उपयोगकर्ता फंड पर कोई प्रभाव नहीं है।”

“जांच और निगरानी के दृष्टिकोण से, हम अपने सुरक्षा भागीदारों के साथ मिलकर यह समझने के लिए काम कर रहे हैं कि यह शोषण कैसे हुआ, और हम किसी भी प्रासंगिक निष्कर्ष को अपनी चल रही सुरक्षा और एकीकरण प्रक्रियाओं में शामिल करेंगे,” 1inch के एक प्रवक्ता ने डिक्रिप्ट को बताया।

प्रवक्ता ने आगे कहा, "यदि कोई प्रदाता 'अनुपलब्ध या समझौताग्रस्त' है, तो अन्य बिना किसी व्यवधान के उपयोगकर्ताओं को सेवा देना जारी रखते हैं," जिसमें यह "अंतर्निहित अतिरेक" एक मुख्य डिज़ाइन सिद्धांत है जो "इस मामले में ठीक वैसे ही काम किया जैसा कि इरादा था"।"

“जबकि यह सच है कि 1inch TrustedVolumes का उपयोग एक रिजॉल्वर के रूप में करता है, हम कई में से एक हैं। इस कहानी की रूपरेखा अंततः भ्रामक और हानिकारक है,” 1inch के सह-संस्थापक सर्गेज कुंज़ ने ट्वीट किया।

DeFi पर हमले

क्रिप्टो एसेट रिकवरी प्लेटफॉर्म CryptoCare के संस्थापक और सीईओ निक हैरिस ने डिक्रिप्ट को बताया, "TrustedVolumes घटना के बारे में जो बात चौंकाने वाली है, वह यह है कि उसी हमलावर ने महीनों के अंतराल पर, अलग-अलग कॉन्ट्रैक्ट्स के खिलाफ दो बार हमला किया," उन्होंने अपराधी को "एक अवसरवादी हैकर के बजाय एक धैर्यवान, लक्षित ऑपरेटर" के रूप में वर्णित किया। उन्होंने चेतावनी दी कि एक शोषण से बचना जरूरी नहीं है कि जोखिम खत्म हो जाए, बल्कि यह "एक नया जोखिम खोल सकता है"।"

TrustedVolumes शोषण DeFi के लिए एक कठिन दौर के बाद हुआ है, जिसमें उत्तर कोरियाई हैकर्स ने ड्रिफ्ट प्रोटोकॉल से $285 मिलियन निकाले और केल्प डीएओ ने एक हमले में $293 मिलियन गंवा दिए, जिसका आरोप उसने समझौताग्रस्त लेयरज़ीरो इंफ्रास्ट्रक्चर पर लगाया।

केल्प हैक तब से अमेरिकी संघीय अदालत में पहुंच गया है, जहां आवे आर्बिट्रम पर जमे हुए $71 मिलियन उपयोगकर्ता फंडों को अनब्लॉक करने के लिए लड़ रहा है।