По данным аналитиков безопасности Blockaid, атака на DeFi-протокол TrustedVolumes стала возможной из-за фундаментальной ошибки в логике проверки подписи смарт-контракта. Уязвимость в функции fillOrder позволила злоумышленнику обойти авторизацию и подделывать торговые ордера, что привело к краже примерно $5,9 млн в Ethereum, Wrapped Bitcoin (WBTC) и стейблкоинах.
Как сообщили компании SlowMist и PeckShield, в распоряжении хакера оказались 1291 ETH ($3,02 млн), 16,94 WBTC ($1,37 млн), а также 1,26 млн USDC и 206 тыс. USDT. После атаки средства были немедленно конвертированы в ETH через децентрализованные биржи, после чего распределены между двумя адресами: на первом находится 1291,07 ETH, на втором — 1222,12 ETH. Эксперты Beosin подтвердили движение активов и подчеркнули, что подобная конвертация является типичным шагом для сокрытия следов.
Связь с предыдущим взломом 1inch
Blockaid указала на возможную причастность того же злоумышленника к прошлогодней атаке на агрегатор 1inch. В обоих случаях использовались схожие уязвимости смарт-контрактов, что указывает на целенаправленный поиск подобных недостатков в DeFi-протоколах.
Протокол TrustedVolumes, построенный на архитектуре запроса котировок (RFQ), требовал от пользователей предоставления широкого доступа к своим средствам. Ошибка в проверке криптографических подписей сделала возможной несанкционированную передачу активов. Инцидент подчёркивает необходимость тщательного аудита смарт-контрактов и постоянного мониторинга в DeFi-секторе, где подобные атаки происходят всё чаще.
