TrustedVolumes, een liquiditeitsverschaffer en market maker verbonden met 1inch, werd getroffen door een aanhoudende exploit die ongeveer $5,87 miljoen onttrok aan zijn Ethereum resolver-contract, aldus blockchain-beveiligingsbedrijf Blockaid.
De gestolen activa omvatten 1.291,16 WETH, 206.282 USDT, 16,939 WBTC en 1.268.771 USDC. De aanval trof een door TrustedVolumes gecontroleerde aangepaste RFQ-swap-proxy, niet een standaard swaproute voor gebruikers.
Blockaid zei dat de aanvaller dezelfde operator was die in verband werd gebracht met de 1inch Fusion V1 exploit van maart 2025. Het bedrijf stelde echter dat de meest recente zaak een andere kwetsbaarheid betrof, gekoppeld aan de aangepaste RFQ-swap-proxy van TrustedVolumes.
Het incident van maart 2025 trof ook resolvers van derden die 1inch Fusion V1 gebruikten. BlockSec zei later dat die exploit meer dan $5 miljoen aan verliezen veroorzaakte nadat aanvallers misbruik maakten van onveilige calldata-afhandeling en resolver-vertrouwensaannames.
CertiK Alert, geciteerd door Binance News, zei dat de aanvaller een openbare functie gebruikte om zich te registreren als een AllowedOrderSigner. De aanvaller voerde vervolgens orders uit die vooraf geautoriseerde fondsen van het slachtofferadres verplaatsten. CertiK adviseerde gebruikers om goedkeuringen die aan het getroffen contract zijn gekoppeld, in te trekken.
De aanval op TrustedVolumes volgde op een moeilijke april voor de DeFi-beveiliging. Crypto.news meldde dat protocollen in de eerste 18 dagen van april alleen al meer dan $606 miljoen verloren, gebaseerd op DefiLlama-gegevens.
Dit totaal werd aangevoerd door twee grote gevallen. Drift Protocol verloor ongeveer $285 miljoen, terwijl Kelp DAO ongeveer $292 miljoen verloor. Crypto.news zei dat deze twee exploits het grootste deel van de destijds bijgehouden verliezen in april voor hun rekening namen.
In een aparte update meldde crypto.news dat Wasabi Protocol meer dan $5 miljoen verloor over Ethereum, Base, Berachain en Blast. Beveiligingsbedrijven zeiden dat een gecompromitteerde beheersleutel aanvallers in staat stelde contracten te upgraden en fondsen weg te sluizen.
De TrustedVolumes-zaak vestigt opnieuw de aandacht op resolver-contracten, goedkeuringssystemen en aangepaste market-making tools. Deze systemen hebben vaak speciale machtigingen nodig om snel fondsen te verplaatsen en transacties te voltooien.
Die structuur kan risico's creëren wanneer machtigingen actief blijven nadat contracten kwetsbaar zijn geworden. Het kan ook leiden tot grotere verliezen wanneer aanvallers een manier vinden om als vertrouwde ondertekenaars op te treden of fondsen via goedgekeurde contracten om te leiden.
Het incident toont niet aan dat alle 1inch-gebruikers direct getroffen zijn. De beschikbare rapporten wijzen naar TrustedVolumes' eigen resolver- en RFQ-proxy-configuratie als het getroffen gebied.
