TrustedVolumes, một nhà cung cấp thanh khoản được nhiều giao thức DeFi sử dụng, đã bị tấn công bởi một khai thác (exploit) mà cho đến nay đã rút khoảng 6,7 triệu đô la tiền.

Hệ thống phát hiện khai thác của công ty phân tích blockchain Blockaid đã xác định hợp đồng bị tấn công là công cụ giải quyết của TrustedVolumes trên Ethereum, với kẻ tấn công đã rút khoảng 1.291 WETH, 206.282 USDT, 16,93 WBTC và 1,26 triệu USDC.

Công ty này đã gắn cờ kẻ khai thác là cùng một đối tượng đứng sau sự cố 1inch Fusion V1 vào tháng 3 năm 2025, lợi dụng một lỗ hổng khác, lần này là trong một proxy hoán đổi RFQ tùy chỉnh do TrustedVolumes kiểm soát.

Một proxy hoán đổi RFQ, hay yêu cầu báo giá (request-for-quote), là một hợp đồng xử lý các báo giá và hoán đổi token giữa nhà tạo lập thị trường và các nhà giao dịch.

TrustedVolumes đã xác nhận vụ vi phạm, công bố ba địa chỉ ví chứa số tiền bị đánh cắp, ước tính khoảng 3 triệu đô la, 3 triệu đô la và 700.000 đô la, và cho biết họ "sẵn sàng đối thoại mang tính xây dựng về tiền thưởng lỗi (bug bounty) và một giải pháp được cả hai bên chấp nhận."

Hakan Unal, trưởng nhóm vận hành bảo mật cấp cao tại công ty bảo mật tiền điện tử Cyvers, nói với Decrypt rằng nguyên nhân gốc rễ là sự kết hợp của “đăng ký người ký không cần cấp phép, bảo vệ replay bị lỗi và trường nguồn chuyển tiền không được xác thực.”

Các lỗi này cho phép kẻ tấn công hoạt động như một người ký đáng tin cậy và rút tiền từ nạn nhân mà không có ủy quyền hợp lệ, với số tiền được chuyển qua sàn giao dịch rủi ro cao không yêu cầu KYC là ChangeNow trước khi được hoán đổi thành ETH, ông nói thêm.

“Thiệt hại có thể lớn hơn nhiều,” Unal nói. “Với việc bảo vệ replay không hoạt động, kẻ tấn công có thể đã rút thêm các tài khoản đã được phê duyệt nhiều lần.”

Decrypt đã liên hệ với TrustedVolumes để bình luận.

1inch phủ nhận liên quan

Công cụ tổng hợp DeFi 1inch đã phản bác sau các báo cáo liên kết nền tảng này trực tiếp với vụ vi phạm, coi đó là một cuộc tấn công vào chính giao thức.

“Chúng tôi có thể xác nhận rằng cả 1inch lẫn bất kỳ giao thức 1inch nào cũng không liên quan,” 1inch đã tweet. “Không có tác động nào đến hệ thống, cơ sở hạ tầng hoặc quỹ người dùng của 1inch.”

“Từ góc độ kiểm tra và giám sát, chúng tôi đang làm việc cùng các đối tác bảo mật để hiểu rõ hơn về cách khai thác này xảy ra, và chúng tôi sẽ tích hợp mọi phát hiện liên quan vào các quy trình bảo mật và tích hợp đang diễn ra của mình,” người phát ngôn của 1inch nói với Decrypt.

Nếu một nhà cung cấp “không khả dụng hoặc bị xâm phạm, những nhà cung cấp khác vẫn tiếp tục phục vụ người dùng mà không bị gián đoạn,” với “khả năng dự phòng tích hợp” này là một nguyên tắc thiết kế cốt lõi mà “hoạt động chính xác như dự định trong trường hợp này,” người phát ngôn nói thêm.

“Mặc dù đúng là 1inch sử dụng TrustedVolumes như một công cụ giải quyết, nhưng chúng tôi chỉ là một trong số nhiều bên. Cách dựng chuyện này cuối cùng gây nhầm lẫn và có hại,” Sergej Kunz, đồng sáng lập 1inch, đã tweet.

Các cuộc tấn công vào DeFi

“Điều đáng chú ý về sự cố TrustedVolumes là cùng một kẻ tấn công đã ra tay hai lần, cách nhau vài tháng, nhắm vào các hợp đồng khác nhau,” Nick Harris, người sáng lập và CEO của nền tảng khôi phục tài sản tiền điện tử CryptoCare, nói với Decrypt, mô tả thủ phạm là một “người điều hành kiên nhẫn, có mục tiêu” hơn là một hacker cơ hội. Ông cảnh báo rằng việc sống sót sau một khai thác không nhất thiết đóng lại rủi ro mà thay vào đó có thể “mở ra một rủi ro mới.”

Vụ khai thác TrustedVolumes diễn ra sau một giai đoạn khó khăn đối với DeFi, với việc các hacker Triều Tiên đã rút 285 triệu đô la từ Drift Protocol và Kelp DAO mất 293 triệu đô la trong một cuộc tấn công mà họ đổ lỗi cho cơ sở hạ tầng LayerZero bị xâm phạm.

Vụ hack Kelp sau đó đã được đưa ra tòa án liên bang Hoa Kỳ, nơi Aave đang đấu tranh để mở khóa 71 triệu đô la quỹ người dùng bị đóng băng trên Arbitrum.