TrustedVolumes, een liquiditeitsaanbieder die door meerdere DeFi-protocollen wordt gebruikt, is getroffen door een exploit waarbij tot nu toe ongeveer $6,7 miljoen aan fondsen is onttrokken.

Het exploitdetectiesysteem van blockchain-analysebedrijf Blockaid identificeerde het getroffen contract als de resolver van TrustedVolumes op Ethereum, waarbij de aanvaller ongeveer 1.291 WETH, 206.282 USDT, 16,93 WBTC en 1,26 miljoen USDC heeft buitgemaakt.

Het bedrijf markeerde de exploiter als dezelfde operator achter het 1inch Fusion V1-incident van maart 2025, waarbij een andere kwetsbaarheid werd misbruikt, dit keer in een door TrustedVolumes beheerde aangepaste RFQ swap proxy.

Een RFQ, ofwel 'request-for-quote', swap proxy is een contract dat prijsoffertes en token-swaps afhandelt tussen een market maker en traders.

TrustedVolumes bevestigde de inbreuk en publiceerde drie wallet-adressen die de gestolen fondsen bevatten – ongeveer $3 miljoen, $3 miljoen en $700.000 – en zei "open te staan voor constructieve communicatie over een bug bounty en een wederzijds aanvaardbare oplossing".

Hakan Unal, senior security operations lead bij cryptobeveiligingsbedrijf Cyvers, vertelde Decrypt dat de hoofdoorzaak een combinatie was van “toestemmingsloze ondertekenaarsregistratie, gebrekkige replay-beveiliging en een ongevalideerd transferbronveld”.

De kwetsbaarheden stelden de aanvaller in staat om als een vertrouwde ondertekenaar op te treden en slachtoffers zonder geldige autorisatie leeg te trekken, waarbij fondsen via de risicovolle no-KYC-beurs ChangeNow werden gerouteerd voordat ze naar ETH werden omgezet, voegde hij eraan toe.

“De schade had veel groter kunnen zijn,” zei Unal. “Omdat de replay-beveiliging niet functioneerde, had de aanvaller mogelijk herhaaldelijk extra goedgekeurde accounts kunnen leegtrekken.”

Decrypt heeft contact opgenomen met TrustedVolumes voor commentaar.

1inch neemt afstand

DeFi-aggregator 1inch wees beweringen van de hand die het platform direct koppelden aan de inbreuk, en kaderde het als een aanval op het protocol zelf.

“We kunnen bevestigen dat noch 1inch, noch een van de 1inch-protocollen betrokken is,” tweette 1inch. “Er is geen impact op de systemen, infrastructuur of gebruikersfondsen van 1inch.”

“Vanuit een vetting- en monitoringperspectief werken we samen met onze beveiligingspartners om de specifieke details te begrijpen van hoe deze exploit heeft plaatsgevonden, en we zullen alle relevante bevindingen opnemen in onze lopende beveiligings- en integratieprocessen,” vertelde een woordvoerder van 1inch aan Decrypt.

Als een aanbieder “onbeschikbaar of gecompromitteerd is, blijven anderen gebruikers zonder verstoring bedienen,” waarbij deze “ingebouwde redundantie” een kernontwerpprincipe is dat “in dit geval precies werkte zoals bedoeld,” voegde de woordvoerder toe.

“Hoewel het waar is dat 1inch TrustedVolumes als resolver gebruikt, zijn wij er slechts één van velen. De framing van dit verhaal is uiteindelijk verwarrend en schadelijk,” tweette 1inch mede-oprichter Sergej Kunz.

Aanvallen op DeFi

“Wat opvalt aan het TrustedVolumes-incident is dat dezelfde aanvaller twee keer toesloeg, maanden na elkaar, tegen verschillende contracten,” vertelde Nick Harris, oprichter en CEO van crypto-activaherstelplatform CryptoCare, aan Decrypt, waarbij hij de dader omschreef als een “geduldige, gerichte operator” in plaats van een opportunistische hacker. Hij waarschuwde dat het overleven van een exploit niet noodzakelijkerwijs het risico elimineert, maar in plaats daarvan “een nieuwe kan openen”.

De TrustedVolumes-exploit volgt op een zware periode voor DeFi, waarbij Noord-Koreaanse hackers $285 miljoen onttrokken aan Drift Protocol en Kelp DAO $293 miljoen verloor in een aanval die het toeschreef aan gecompromitteerde LayerZero-infrastructuur.

De Kelp-hack is sindsdien doorgedrongen tot een Amerikaanse federale rechtbank, waar Aave strijdt om $71 miljoen aan bevroren gebruikersfondsen op Arbitrum te deblokkeren.