Криптовалютный поставщик ликвидности TrustedVolumes подтвердил взлом, в результате которого было похищено около $6,7 млн. По данным компании, украденные средства распределены по трём адресам: примерно $3 млн на двух кошельках и ещё $700 тыс. на третьем. В заявлении после атаки TrustedVolumes отметил, что остаётся открытым к переговорам со злоумышленником и готов обсудить «конструктивное урегулирование» в формате bug bounty.
Согласно аналитической фирме Blockaid, атака проведена через уязвимый контракт-резолвер TrustedVolumes в сети Ethereum. Хакер вывел приблизительно 1 291 WETH, 206 282 USDT, 16,93 WBTC и 1,26 млн USDC. Специалисты Cyvers выявили первопричину: комбинацию неограниченной регистрации подписантов, нарушенной защиты от повторного воспроизведения (replay protection) и непроверяемого поля источника перевода. Эти недостатки позволили злоумышленнику действовать как доверенный подписант и выводить средства без авторизации, а затем конвертировать их через биржу без KYC ChangeNow в ETH.
Ник Харрис, CEO CryptoCare, подчеркнул, что один и тот же атакующий ранее эксплуатировал 1inch Fusion V1 в марте 2025 года и теперь использовал другую уязвимость, что говорит о целенаправленном и терпеливом подходе. Эксперты предупреждают, что ущерб мог быть значительно большим, так как неработающая защита от повторов потенциально позволяла продолжать опустошать одобренные аккаунты.
После инцидента в соцсетях появились сообщения, связывающие взлом с DeFi-агрегатором 1inch. Команда проекта выступила с официальным опровержением: «Ни 1inch, ни его протоколы не имеют отношения к этому событию. Системы, инфраструктура и средства пользователей не пострадали». Сооснователь 1inch Сергей Кунц добавил, что платформа использует TrustedVolumes лишь как одного из многих резолверов, а встроенная избыточность позволила избежать перебоев. При этом представитель 1inch заявил, что компания совместно с партнёрами по безопасности изучает детали взлома для усиления внутренних процессов.
Атака на TrustedVolumes продолжила серию крупных инцидентов в DeFi: ранее северокорейские хакеры вывели $285 млн из Drift Protocol, а Kelp DAO потеряла $293 млн из-за скомпрометированной инфраструктуры LayerZero. Последнее дело уже привело к судебному разбирательству в США, где Aave добивается разблокировки замороженных $71 млн на Arbitrum.
