Une autre attaque de plusieurs millions de dollars a frappé le secteur DeFi après que le fournisseur de liquidité et market maker TrustedVolumes ait été victime d'une exploitation de contrat intelligent jeudi soir.
Volumes de confiance touchés par un piratage de 6,7 M$
Jeudi, la plateforme DeFi TrustedVolumes, l’un des fournisseurs de liquidité et market makers de 1inch, a subi une nouvelle exploitation qui a vidé des millions de dollars en plusieurs actifs du projet.
Selon des rapports des sociétés de sécurité blockchain PeckShield et Blockaid, l'attaquant a volé environ 6 millions de dollars en Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT et USDT après avoir exploité une vulnérabilité dans la logique de validation des signatures du protocole, ce qui lui a permis de contourner les contrôles d'autorisation et de falsifier des ordres de trading.
Notamment, le pirate a rapidement échangé tous les actifs contre 2,513 ETH sur une Exchange Décentralisée (DEX) et les a répartis sur trois adresses. Dans un post sur X, TrustedVolumes confirmed l'incident, en partageant les adresses détenant actuellement les fonds volés et en mettant à jour le montant estimé du dommage à environ 6,7 millions de dollars.
La vulnérabilité était un proxy d'échange RFQ personnalisé contrôlé par TrustedVolumes. Le chercheur en cryptomonnaie Humphrey explained que « le contrat Custom RFQ Swap Proxy contient une fonction conçue pour gérer la liste blanche des signataires d'ordres autorisés. De tels mécanismes de liste blanche sont courants dans la DeFi — seules les adresses sur la liste blanche peuvent émettre des instructions de transaction valides au nom du protocole. »
Cependant, il a noté que « cette fonction d'enregistrement est publique et ne comporte aucun modificateur d'autorisation ». En conséquence, l'attaquant a exploité cette fonction publique au sein du contrat, s'enregistrant comme signataire autorisé des commandes.
« Puisque n’importe quelle adresse externe peut appeler cette fonction, cela revient à donner à tout le monde la possibilité de faire une copie de la clé du coffre », a poursuivi le chercheur.
Même pirate, attaque différente
Les rapports en ligne ont révélé que l'attaquant était le même pirate responsable de l'exploitation du contrat de règlement 1inch Fusion V1 de 5 millions de dollars en mars 2025, dont TrustedVolumes a été la victime principale.
Humprey a souligné que, bien que la même personne ait commis les deux attaques, elles étaient considérablement différentes sur le plan technique. Selon le message, la vulnérabilité de 2025 impliquait une manipulation de la mémoire EVM de bas niveau dans le contrat de règlement 1inch Fusion V1.
À l'époque, le pirate a « initié proactivement des négociations sur la chaîne », proposant de restituer les actifs volés contre une récompense white hat. La plateforme DeFi a accepté la proposition, et la majorité des fonds ont été restitués en toute sécurité.
Maintenant, TrustedVolumes a affirmé qu'il est « ouvert à une communication constructive concernant un programme de récompense pour la détection de bugs et une résolution mutuellement acceptable. »
Aggrégateur d'échanges décentralisés 1inch avait précisé qu'il n'y avait aucun impact sur ses systèmes, son infrastructure ou les fonds des utilisateurs, expliquant que « TrustedVolumes opèrent indépendamment en tant que fournisseur de liquidité, utilisé par plusieurs protocoles dans l'industrie, et ne sont pas exclusifs à 1inch. »
Les exploitations DeFi connaissent une hausse historiqueCette attaque fait suite à une vague d'exploitations qui a secoué le secteur DeFi au cours du dernier mois. La semaine dernière, PeckShield a révélé que l'écosystème crypto a subi 40 piratages majeurs en avril, entraînant un vol d'environ 647 millions de dollars.
Ce chiffre représente une augmentation de 1 140 % mois sur mois (MoM) par rapport aux 52,2 millions de dollars de mars. Il représente également une hausse de 292 % par rapport aux 165 millions de dollars perdus par le secteur DeFi au premier trimestre 2026.
Notamment, les deux principaux incidents du mois, l’exploitation de Drift Protocol pour 285 millions de dollars et celle de KelpDAO pour 290 millions de dollars, représentent 91 % des fonds perdus le mois dernier. En outre, ils figurent désormais parmi les 10 principales failles depuis 2021.
