A TrustedVolumes, um provedor de liquidez usado por múltiplos protocolos DeFi, foi atingida por um exploit que até agora drenou cerca de $6,7 milhões em fundos.

O sistema de detecção de exploit da empresa de análise de blockchain Blockaid identificou o contrato vítima como o resolvedor da TrustedVolumes no Ethereum, com o atacante extraindo aproximadamente 1.291 WETH, 206.282 USDT, 16,93 WBTC e 1,26 milhão de USDC.

A empresa sinalizou o explorador como o mesmo operador por trás do incidente 1inch Fusion V1 de março de 2025, utilizando uma vulnerabilidade diferente, desta vez em um proxy de swap RFQ personalizado controlado pela TrustedVolumes.

Um proxy de swap RFQ, ou request-for-quote (solicitação de cotação), é um contrato que lida com cotações de preços e trocas de tokens entre um formador de mercado e traders.

A TrustedVolumes confirmou a violação, publicando três endereços de carteira que detêm os fundos roubados, aproximadamente $3 milhões, $3 milhões e $700.000, e afirmou estar "aberta a uma comunicação construtiva sobre uma recompensa por bugs e uma resolução mutuamente aceitável."

Hakan Unal, líder sênior de operações de segurança na empresa de segurança de cripto Cyvers, disse à Decrypt que a causa raiz foi uma combinação de “registro de assinante sem permissão, proteção de replay quebrada e um campo de origem de transferência não validado.”

As falhas permitiram que o atacante agisse como um assinante confiável e drenasse as vítimas sem autorização válida, com os fundos sendo roteados através da exchange de alto risco sem KYC ChangeNow antes de serem trocados por ETH, ele acrescentou.

“O dano poderia ter sido muito maior,” disse Unal. “Com a proteção de replay não funcional, o atacante poderia ter drenado repetidamente contas aprovadas adicionais.”

A Decrypt entrou em contato com a TrustedVolumes para obter um comentário.

A 1inch se distancia

A agregadora DeFi 1inch se manifestou após relatórios vincularem a plataforma diretamente à violação, enquadrando-a como um ataque ao próprio protocolo.

“Podemos confirmar que nem a 1inch nem qualquer um dos protocolos 1inch estão envolvidos,” tuitou a 1inch. “Não há impacto nos sistemas, infraestrutura ou fundos de usuários da 1inch.”

“De uma perspectiva de verificação e monitoramento, estamos trabalhando em conjunto com nossos parceiros de segurança para entender os detalhes de como este exploit ocorreu, e incorporaremos quaisquer descobertas relevantes em nossos processos contínuos de segurança e integração,” disse um porta-voz da 1inch à Decrypt.

Se um provedor estiver “indisponível ou comprometido, outros continuam a servir os usuários sem interrupção,” sendo esta “redundância integrada” um princípio de design central que “funcionou exatamente como pretendido neste caso,” acrescentou o porta-voz.

“Embora seja verdade que a 1inch usa a TrustedVolumes como um resolvedor, somos um de muitos. A forma como esta história é enquadrada é, em última análise, confusa e prejudicial,” tuitou o co-fundador da 1inch, Sergej Kunz.

Ataques a DeFi

“O que é impressionante no incidente da TrustedVolumes é que o mesmo atacante atacou duas vezes, com meses de diferença, contra contratos diferentes,” disse Nick Harris, fundador e CEO da plataforma de recuperação de ativos cripto CryptoCare, à Decrypt, descrevendo o perpetrador como um “operador paciente e direcionado” em vez de um hacker oportunista. Ele alertou que sobreviver a um exploit não fecha necessariamente o risco, mas pode, em vez disso, “abrir um novo.”

O exploit da TrustedVolumes segue um período brutal para DeFi, com hackers norte-coreanos drenando $285 milhões do Drift Protocol e a Kelp DAO perdendo $293 milhões em um ataque que atribuiu à infraestrutura comprometida da LayerZero.

O hack da Kelp desde então se espalhou para um tribunal federal dos EUA, onde a Aave está lutando para desbloquear $71 milhões em fundos de usuários congelados na Arbitrum.