Експлойт TrustedVolumes викачав 6,7 млн доларів у провайдера ліквідності 1inch

TrustedVolumes, постачальник ліквідності та маркет-мейкер для агрегатора децентралізованої біржі 1inch, зазнає триваючої атаки, внаслідок якої приблизно на $6,7 мільйона виведено кошти, повідомляють блокчейн-компанія з безпеки Blockaid і сам TrustedVolumes. Blockaid спочатку у середу виявила експлойт, який, як повідомлялося, вражає резолверний контракт TrustedVolumes у мережі Ethereum. У четвер компанія надала оновлену оцінку втрат і зазначила, що розглядає bug bounty для врегулювання ситуації. 1inch підтвердив, що його системи, інфраструктура та кошти користувачів не постраждали.

Initial Blockaid Report

Blockaid повідомила, що первинно виведена сума становила приблизно $5,87 мільйона, з яких 1 291,16 WETH, 206 282 USDT, 16,939 WBTC та 1 268 771 USDC. За даними Blockaid, атакувальник є тим самим суб’єктом, який стояв за березневим експлойтом 1inch Fusion V1 у березні 2025 року, що вивів близько $5 мільйонів. Водночас Blockaid зазначила, що триваюча атака використовує іншу вразливість, пов’язану з кастомним RFQ (request for quote) своп-процесом, який контролює TrustedVolumes.

TrustedVolumes Response

TrustedVolumes підтвердив експлойт у четвер, оновивши суму втрат до приблизно $6,7 мільйона. Компанія вказала, що розглядатиме bug bounty як потенційне рішення для врегулювання ситуації.

1inch Statement

1inch опублікував заяву, уточнивши, що впливу на його системи, інфраструктуру або кошти користувачів немає. «TrustedVolumes працює незалежно як постачальник ліквідності, використовується багатьма протоколами в індустрії та не є ексклюзивним для 1inch», — йдеться в заяві. «Ми й надалі стежимо за ситуацією та активно допомагаємо там, де це доречно, разом із відповідними сторонами з безпеки».

Broader DeFi Security Context

Атаки на учасників DeFi різко зросли впродовж останніх тижнів. За даними DefiLlama, у квітні 2025 року загалом $635,2 мільйона було викрадено внаслідок хаків і експлойтів — це найбільша щомісячна сума з лютого 2025 року, коли хакери вкрали майже $1,5 мільярда в Bybit. Серед нещодавніх великих інцидентів — соціальна інженерія на $285 мільйонів проти Drift і експлойт на $293 мільйони проти Kelp DAO. Атака на TrustedVolumes стала п’ятим великим експлойтом від початку травня.