木曜日の夜、流動性プロバイダーおよびメイカーのTrustedVolumesがスマートコントラクトの脆弱性を悪用されたことで、DeFiセクターにまた多額の攻撃が発生しました。
信頼できるボリュームが670万ドルのハッキング被害に遭う
木曜日、DeFiプラットフォームTrustedVolumes、1inchの流動性提供者およびメイカーの1つが新たな攻撃を受け、プロジェクトから数百万ドル分の複数の資産が盗まれました。
ブロックチェーンセキュリティ企業のPeckShieldおよびBlockaidの報告によると、攻撃者はプロトコルのコア署名検証ロジックに存在する脆弱性を悪用し、認証チェックを回避して取引注文を偽造することで、Wrapped Ethereum(WETH)、Wrapped Bitcoin(WBTC)、USDT、およびUSDTを約600万ドル盗み取った。
注目すべきことに、ハッカーはすべての資産をデセントラライズドエクスチェンジ(DEX)で2.513 ETHに交換し、それを3つのアドレスに分散しました。Xの投稿でTrustedVolumesは確認し、盗まれた資金を現在保有しているアドレスを共有するとともに、推定損失額を約670万ドルに更新しました。
この脆弱性は、TrustedVolumesが管理するカスタムRFQ(価格照会)スワッププロキシーでした。暗号通貨研究者のハンフリーは、「カスタムRFQスワッププロキシーコントラクトには、『認可された注文署名者』ホワイトリストを管理するための関数が含まれています。このようなホワイトリストメカニズムはDeFiでは一般的であり、ホワイトリストに登録されたアドレスのみがプロトコルに代わって有効なトランザクション指示を発行できます。」
しかし、彼は「この登録機能は公開されており、権限修飾子が一切ありません」と指摘しました。その結果、攻撃者は契約内のこの公開機能を悪用し、自身を認可された注文署名者として登録しました。
研究者は続けた。「任意の外部アドレスがこの関数を呼び出せるため、これは誰にでも金庫の鍵のコピーを作成する権限を与えることと同等です。」
同じハッカー、異なる攻撃
オンラインの報告によると、攻撃者は2025年3月に発生した500万ドル規模の1inch Fusion V1決済契約の脆弱性を悪用したハッカーと同じであり、TrustedVolumesが主な被害者となった。
ハンプリーは、同じ個人が両方の攻撃を実行したが、技術的には大きく異なっていたと指摘した。投稿によると、2025年の脆弱性は、1inch Fusion V1 Settlementコントラクトにおける低レベルのEVMメモリ操作に関係していた。
当時、ハッカーは「自発的にオンチェーン交渉を開始」し、ホワイトハット報酬として盗まれた資産を返却すると提案しました。DeFiプラットフォームはその提案を受け入れ、ほとんどの資金が安全に返還されました。
現在、TrustedVolumesは「バグバウンティおよび両者にとって受け入れ可能な解決策に関する建設的な対話に開かれている」と確認しました。
分散型取引所アグリゲーター1inchは、そのシステム、インフラ、ユーザー資金に影響はなかったと明確にした。その理由として、「TrustedVolumesは業界全体で複数のプロトコルによって使用される独立した流動性プロバイダーであり、1inchに限定されない」と説明した。
DeFiの攻撃が歴史的な急増を記録この攻撃は、過去1か月間にDeFiセクターを揺るがした一連の不正アクセスの後続です。先週、PeckShieldは、4月に暗号資産業界で40件の主要なハッキングが発生し、約6億4700万ドルが流失したことを明らかにしました。
この数値は、3月の5,220万ドルからの1,140%の月間増加を示しています。また、2026年第1四半期にDeFiセクターが失った1億6,500万ドルからの292%の急増をも示しています。
注目すべきには、今月の上位2件の事件、Drift Protocolの2億8500万ドルとKelpDAOの2億9000万ドルの不正アクセスが、先月の損失資金の91%を占めました。さらに、これらは2021年以降のトップ10のハッキング事件にランクインしています。
