TrustedVolumes, dostawca płynności i animator rynku powiązany z 1inch, padł ofiarą trwającego exploita, który wyprowadził około 5,87 miliona dolarów z jego kontraktu rozwiązywania Ethereum, według firmy zajmującej się bezpieczeństwem blockchain, Blockaid.
Skradzione aktywa obejmowały 1291,16 WETH, 206 282 USDT, 16,939 WBTC i 1 268 771 USDC. Atak dotknął kontrolowany przez TrustedVolumes niestandardowy proxy wymiany RFQ, a nie standardową trasę wymiany użytkownika.
Blockaid podało, że atakujący był tym samym operatorem powiązanym z exploitem 1inch Fusion V1 z marca 2025 roku. Jednak firma stwierdziła, że najnowszy przypadek wykorzystał inną lukę w zabezpieczeniach, związaną z niestandardowym proxy wymiany RFQ TrustedVolumes.
Incydent z marca 2025 roku dotknął również strony trzecie korzystające z 1inch Fusion V1. BlockSec później podało, że ten exploit spowodował straty przekraczające 5 milionów dolarów po tym, jak atakujący wykorzystali niebezpieczne obsługi danych wywołań (calldata) i założenia zaufania do resolverów.
CertiK Alert, cytowane przez Binance News, podało, że atakujący użył publicznej funkcji do zarejestrowania się jako AllowedOrderSigner. Następnie atakujący wykonał zlecenia, które przeniosły wcześniej autoryzowane środki z adresu ofiary. CertiK zaleciło użytkownikom cofnięcie zgód powiązanych z dotkniętym kontraktem.
Atak na TrustedVolumes nastąpił po trudnym kwietniu dla bezpieczeństwa DeFi. Crypto.news podało, że protokoły straciły ponad 606 milionów dolarów w ciągu zaledwie pierwszych 18 dni kwietnia, bazując na danych DefiLlama.
Na tę sumę złożyły się dwie duże sprawy. Drift Protocol stracił około 285 milionów dolarów, podczas gdy Kelp DAO straciło około 292 miliony dolarów. Crypto.news podało, że te dwa exploity stanowiły większość śledzonych strat w kwietniu w tamtym czasie.
W osobnej aktualizacji, crypto.news podało, że Wasabi Protocol stracił ponad 5 milionów dolarów na Ethereum, Base, Berachain i Blast. Firmy zajmujące się bezpieczeństwem stwierdziły, że skompromitowany klucz administratora pozwolił atakującym na ulepszenie kontraktów i wyprowadzenie środków.
Sprawa TrustedVolumes ponownie zwraca uwagę na kontrakty rozwiązywania, systemy zatwierdzania i niestandardowe narzędzia do animacji rynku. Systemy te często wymagają specjalnych uprawnień do szybkiego przenoszenia środków i realizacji transakcji.
Taka struktura może stwarzać ryzyko, gdy uprawnienia pozostają aktywne po tym, jak kontrakty stają się podatne na ataki. Może to również zwiększać straty, gdy atakujący znajdą sposób na działanie jako zaufani sygnatariusze lub kierowanie środków przez zatwierdzone kontrakty.
Incydent nie wskazuje, aby wszyscy użytkownicy 1inch zostali bezpośrednio dotknięci. Dostępne raporty wskazują na własny resolver TrustedVolumes i konfigurację proxy RFQ jako obszar dotknięty atakiem.
