TrustedVolumes, dostawca płynności używany przez wiele protokołów DeFi, padł ofiarą exploitu, który jak dotąd doprowadził do wyprowadzenia około 6,7 miliona dolarów.

System wykrywania exploitów firmy analitycznej Blockaid zidentyfikował zaatakowany kontrakt jako resolver TrustedVolumes na Ethereum, a atakujący wyprowadził około 1291 WETH, 206 282 USDT, 16,93 WBTC i 1,26 miliona USDC.

Firma oznaczyła exploitera jako tego samego operatora, który stał za incydentem 1inch Fusion V1 z marca 2025 roku, wykorzystując inną lukę, tym razem w niestandardowym proxy wymiany RFQ kontrolowanym przez TrustedVolumes.

Proxy wymiany RFQ, czyli request-for-quote, to kontrakt, który obsługuje wyceny i wymiany tokenów między animatorem rynku a traderami.

TrustedVolumes potwierdziło naruszenie, publikując trzy adresy portfeli przechowujące skradzione środki, około 3 miliony dolarów, 3 miliony dolarów i 700 000 dolarów, i oświadczyło, że jest "otwarte na konstruktywną komunikację w sprawie nagrody za znalezienie błędów (bug bounty) i wzajemnie akceptowalnego rozwiązania".

Hakan Unal, starszy kierownik ds. operacji bezpieczeństwa w firmie Cyvers zajmującej się bezpieczeństwem kryptowalut, powiedział Decrypt, że przyczyną było połączenie „rejestracji podpisującego bez uprawnień, uszkodzonej ochrony przed powtórzeniem transakcji i niezweryfikowanego pola źródła transferu”.

Luki te umożliwiły atakującemu działanie jako zaufany sygnatariusz i wyprowadzanie środków od ofiar bez ważnej autoryzacji, a fundusze były kierowane przez wysokiego ryzyka giełdę ChangeNow bez KYC, zanim zostały zamienione na ETH, dodał.

„Szkody mogły być znacznie większe”, powiedział Unal. „Przy niedziałającej ochronie przed powtórzeniem transakcji, atakujący mógł potencjalnie wielokrotnie wyprowadzać środki z dodatkowych zatwierdzonych kont”.

Decrypt skontaktowało się z TrustedVolumes w celu uzyskania komentarza.

1inch dystansuje się

Agregator DeFi 1inch odrzucił doniesienia wiążące platformę bezpośrednio z naruszeniem, przedstawiając to jako atak na sam protokół.

„Możemy potwierdzić, że ani 1inch, ani żaden z protokołów 1inch nie są zaangażowane”, napisał 1inch na Twitterze. „Nie ma to wpływu na systemy 1inch, infrastrukturę ani środki użytkowników”.

„Z perspektywy weryfikacji i monitorowania, współpracujemy z naszymi partnerami ds. bezpieczeństwa, aby zrozumieć szczegóły tego, jak doszło do tego exploitu, i będziemy uwzględniać wszelkie istotne ustalenia w naszych bieżących procesach bezpieczeństwa i integracji” – powiedział rzecznik 1inch Decrypt.

Jeśli dostawca jest „niedostępny lub naruszony, inni nadal obsługują użytkowników bez zakłóceń”, a ta „wbudowana redundancja” jest kluczową zasadą projektową, która „zadziałała dokładnie zgodnie z przeznaczeniem w tym przypadku” – dodał rzecznik.

„Chociaż prawdą jest, że 1inch używa TrustedVolumes jako resolvera, jesteśmy jednym z wielu. Ramowanie tej historii jest ostatecznie mylące i szkodliwe” – napisał na Twitterze współzałożyciel 1inch, Sergej Kunz.

Ataki na DeFi

„Uderzające w incydencie z TrustedVolumes jest to, że ten sam atakujący uderzył dwukrotnie, w odstępie miesięcy, w różne kontrakty” – powiedział Decrypt Nick Harris, założyciel i dyrektor generalny platformy odzyskiwania kryptowalut CryptoCare, opisując sprawcę jako „cierpliwego, ukierunkowanego operatora”, a nie oportunistycznego hakera. Ostrzegł, że przetrwanie jednego exploitu niekoniecznie zamyka ryzyko, ale może zamiast tego „otworzyć nowe”.

Exploit TrustedVolumes następuje po brutalnym okresie dla DeFi, kiedy to północnokoreańscy hakerzy wyprowadzili 285 milionów dolarów z Drift Protocol, a Kelp DAO straciło 293 miliony dolarów w ataku, za który obwiniło naruszoną infrastrukturę LayerZero.

Hack Kelp trafił od tego czasu do amerykańskiego sądu federalnego, gdzie Aave walczy o odblokowanie 71 milionów dolarów zamrożonych środków użytkowników na Arbitrum.