Isang iba pang pag-atake na milyon-milyong dolyar ang nag-sabog sa sektor ng DeFi pagkatapos maging biktima ng pagpapalabas ng smart contract ang liquidity provider at market maker na TrustedVolumes noong Huwebes gabi.
Nahuli ang TrustedVolumes sa hack na $6.7M
Noong Huwebes, ang DeFi platform na TrustedVolumes, isa sa mga liquidity provider at market maker ng 1inch, ay nasakop ng bagong exploit na nagbawas ng milyon-milyong dolyar sa iba’t ibang asset mula sa proyekto.
Ayon sa mga ulat mula sa mga kumpanya ng seguridad sa blockchain na PeckShield at Blockaid, ang attacker ay nakuha ang halos $6 milyon sa Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT, at USDT pagkatapos mag-exploit ng isang vulnerability sa core na signature validation logic ng protocol, na nagbigay-daan sa kanila na i-bypass ang mga pagsusuri ng awtorisasyon at mag-forged ng trading orders.
Napansin na agad palitan ng hacker ang lahat ng mga ari-arian para sa 2.513 ETH sa isang Decentralized Exchange (DEX) at ipinamahagi ito sa tatlong address. Sa isang post sa X, kinumpirma ni TrustedVolumes confirmed ang insidente, at ibinahagi ang mga address na kasalukuyang naghahawak ng mga nasupil na pondo at isinama ang inaasahang pagkawala sa halos $6.7 milyon.
Ang vulnerability ay isang custom RFQ (request for quote) swap proxy na pinag-uugnay ng TrustedVolumes. Ipinaliwanag ng crypto researcher na si Humphrey explained na “ang Custom RFQ Swap Proxy contract ay may isang function na disenyo para pamahalaan ang ‘authorized order signer’ whitelist. Karaniwan ang ganitong mga whitelist mechanism sa DeFi—kung saan ang mga address na nasa whitelist lamang ang makakapaglabas ng mga valid na transaction instructions sa ngalan ng protocol.”
Gayunpaman, binanggit niya na “ang function na ito ay publiko at walang anumang permission modifiers.” Bilang resulta, pinagamit ng attacker ang publikong function na ito sa loob ng contract, at naregistro sila bilang pinahihintulutang order signer.
“Dahil ang anumang panlabas na address ay maaaring tumawag sa function na ito, katumbas nito ang pagbibigay ng kakayahan sa lahat na gumawa ng kopya ng susi ng safe,” patuloy ng siyentipiko.
Sama na Hacker, Iba na Pag-atake
Ipinakita ng mga online na ulat na ang attacker ay ang parehong hacker responsible para sa $5 milyong 1inch Fusion V1 Settlement contract exploit noong Marso 2025, kung saan ang TrustedVolumes ay ang pangunahing biktima.
Ipinahiwatig ni Humprey na habang ang parehong indibidwal ang nag-isip ng parehong atake, malaki ang pagkakaiba nito sa teknikal na antas. Ayon sa post, ang vulnerability noong 2025 ay nagsasangkot ng low-level na EVM memory manipulation sa 1inch Fusion V1 Settlement contract.
Sa panahong iyon, ang hacker ay “proaktibong nagmagsimula ng mga negosyasyon sa-chain,” at nag-offer na ibalik ang mga nasakop na ari-arian bilang white hat bounty. Tinanggap ng DeFi platform ang panukala, at marami sa mga pondo ay muling ibinalik nang ligtas.
Ngayon, tinibay ng TrustedVolumes na “buksan sa konstruktibong komunikasyon tungkol sa bug bounty at isang kapwa tanggap na solusyon.”
Ang decentralized exchange aggregator na 1inch inilinaw na walang epekto sa mga sistema, imprastruktura, o mga pondo ng mga user, at ipinaliwanag na “nagpapatakbo nang hiwalay ang TrustedVolumes bilang liquidity provider, na ginagamit ng maraming protokolo sa buong industriya, at hindi eksklusibo sa 1inch.”
Kumakataas nang kasaysayang pagtaas ang mga DeFi ExploitsSumusunod ang serangan na ito sa isang alon ng pag-atake na nagdulot ng pagkabigo sa sektor ng DeFi sa nakaraang buwan. Noong nakaraang linggo, ipinakita ni PeckShield na ang kalibutan ng cryptocurrency ay nakakaranas ng 40 malalaking paglulupig noong Abril, na nagbawas ng halos $647 milyon.
Kumakatawan ang bilang na ito sa isang 1,140% na pagtaas mula sa $52.2 milyon noong Marso. Kumakatawan din ito sa isang 292% na pagtaas mula sa $165 milyon na nawala ng DeFi sector noong unang quarter ng 2026.
Napansin, ang dalawang pinakamalaking insidente ng buwan, ang Drift Protocol na $285 milyon at ang KelpDAO na $290 milyon, ay nagsisilbi ng 91% ng mga perang nawala noong nakaraang buwan. Bukod dito, kasalukuyang nasa Top 10 ang mga ito mula noong 2021.
