TrustedVolumes, penyedia likuiditas yang digunakan oleh beberapa protokol DeFi, diserang oleh eksploitasi yang sejauh ini telah menguras dana sekitar $6,7 juta.

Sistem deteksi eksploitasi perusahaan analitik blockchain Blockaid mengidentifikasi kontrak korban sebagai resolver TrustedVolumes di Ethereum, dengan penyerang mengekstraksi sekitar 1.291 WETH, 206.282 USDT, 16.93 WBTC, dan 1,26 juta USDC.

Perusahaan tersebut menandai penyerang sebagai operator yang sama di balik insiden 1inch Fusion V1 pada Maret 2025, memanfaatkan kerentanan yang berbeda, kali ini dalam proxy swap RFQ khusus yang dikendalikan oleh TrustedVolumes.

RFQ, atau request-for-quote, swap proxy adalah kontrak yang menangani penawaran harga dan pertukaran token antara pembuat pasar dan pedagang.

TrustedVolumes mengkonfirmasi pelanggaran tersebut, menerbitkan tiga alamat dompet yang menampung dana curian, masing-masing sekitar $3 juta, $3 juta, dan $700.000, dan mengatakan bahwa mereka "terbuka untuk komunikasi konstruktif mengenai bounty bug dan resolusi yang saling menguntungkan."

Hakan Unal, pemimpin operasi keamanan senior di perusahaan keamanan kripto Cyvers, mengatakan kepada Decrypt bahwa akar masalahnya adalah kombinasi dari "registrasi penanda tangan tanpa izin, perlindungan pemutaran ulang yang rusak, dan bidang sumber transfer yang tidak tervalidasi."

Kelemahan-kelemahan tersebut memungkinkan penyerang bertindak sebagai penanda tangan tepercaya dan menguras korban tanpa otorisasi yang sah, dengan dana disalurkan melalui bursa berisiko tinggi tanpa KYC, ChangeNow, sebelum ditukar ke ETH, tambahnya.

"Kerugian bisa saja jauh lebih besar," kata Unal. "Dengan perlindungan pemutaran ulang yang tidak berfungsi, penyerang berpotensi menguras akun-akun yang disetujui berulang kali."

Decrypt telah menghubungi TrustedVolumes untuk dimintai komentar.

1inch Menjauhkan Diri

Agregator DeFi 1inch membantah setelah laporan mengaitkan platform tersebut secara langsung dengan pelanggaran, menjadikannya sebagai serangan terhadap protokol itu sendiri.

"Kami dapat mengkonfirmasi bahwa baik 1inch maupun protokol 1inch lainnya tidak terlibat," cuit 1inch. "Tidak ada dampak pada sistem, infrastruktur, atau dana pengguna 1inch."

"Dari perspektif pemeriksaan dan pemantauan, kami bekerja sama dengan mitra keamanan kami untuk memahami secara spesifik bagaimana eksploitasi ini terjadi, dan kami akan memasukkan temuan yang relevan ke dalam proses keamanan dan integrasi kami yang berkelanjutan," kata juru bicara 1inch kepada Decrypt.

Jika seorang penyedia "tidak tersedia atau disusupi, yang lain terus melayani pengguna tanpa gangguan," dengan "redundansi bawaan" ini adalah prinsip desain inti yang "berfungsi persis seperti yang dimaksudkan dalam kasus ini," tambah juru bicara tersebut.

"Meskipun benar bahwa 1inch menggunakan TrustedVolumes sebagai resolver, kami adalah salah satu dari banyak. Pembingkaian cerita ini pada akhirnya membingungkan dan berbahaya," cuit co-founder 1inch, Sergej Kunz.

Serangan terhadap DeFi

"Yang mencolok dari insiden TrustedVolumes adalah bahwa penyerang yang sama menyerang dua kali, dengan selisih beberapa bulan, terhadap kontrak yang berbeda," Nick Harris, pendiri dan CEO platform pemulihan aset kripto CryptoCare, mengatakan kepada Decrypt, menggambarkan pelaku sebagai "operator yang sabar dan terarah" daripada peretas oportunistik. Dia memperingatkan bahwa selamat dari eksploitasi tidak selalu menutup risiko tetapi justru dapat "membuka yang baru."

Eksploitasi TrustedVolumes mengikuti periode brutal untuk DeFi, dengan peretas Korea Utara menguras $285 juta dari Drift Protocol dan Kelp DAO kehilangan $293 juta dalam serangan yang mereka salahkan pada infrastruktur LayerZero yang disusupi.

Peretasan Kelp sejak itu telah bergulir ke pengadilan federal A.S., di mana Aave berjuang untuk membuka blokir $71 juta dana pengguna yang dibekukan di Arbitrum.