Outro ataque de milhões de dólares atingiu o setor DeFi após o provedor de liquidez e criador TrustedVolumes sofrer uma exploração de contrato inteligente na quinta-feira à noite.
Volumess de Confiança Atingidos por Hack de $6,7 Mi
Na quinta-feira, a plataforma DeFi TrustedVolumes, um dos provedores de liquidez e criadores da 1inch, sofreu uma nova exploração que esvaziou milhões de dólares em diversos ativos do projeto.
De acordo com relatos das empresas de segurança blockchain PeckShield e Blockaid, o atacante roubou aproximadamente US$ 6 milhões em Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT e USDT após explorar uma vulnerabilidade na lógica de validação de assinatura do protocolo, que permitiu contornar verificações de autorização e forjar ordens de negociação.
Notavelmente, o hacker trocou rapidamente todos os ativos por 2,513 ETH em uma Exchange Descentralizada (DEX) e distribuiu-os entre três endereços. Em uma postagem no X, TrustedVolumes confirmou o incidente, compartilhando os endereços que atualmente detêm os fundos roubados e atualizando a perda estimada para cerca de US$ 6,7 milhões.
A vulnerabilidade era um proxy de troca RFQ personalizado controlado pelo TrustedVolumes. O pesquisador de criptomoedas Humphrey explicou que “o contrato do Proxy de Troca RFQ Personalizado contém uma função projetada para gerenciar a lista de permissões do ‘assinante autorizado da ordem’. Esses mecanismos de lista de permissões são comuns no DeFi — apenas endereços na lista de permissões podem emitir instruções de transação válidas em nome do protocolo.”
No entanto, ele observou que “essa função de registro é pública e não possui modificadores de permissão.” Como resultado, o atacante explorou essa função pública dentro do contrato, registrando-se como um assinante autorizado de ordens.
“Como qualquer endereço externo pode chamar essa função, é equivalente a dar a todos a capacidade de fazer uma cópia da chave do cofre”, continuou o pesquisador.
Mesmo Hacker, Ataque Diferente
Os relatórios online revelaram que o atacante era o mesmo hacker responsável pela exploração do contrato de liquidação 1inch Fusion V1 de US$ 5 milhões em março de 2025, cuja principal vítima foi a TrustedVolumes.
Humprey destacou que, embora o mesmo indivíduo tenha realizado ambos os ataques, eles foram significativamente diferentes em nível técnico. De acordo com a postagem, a vulnerabilidade de 2025 envolveu manipulação de memória EVM de baixo nível no contrato de liquidação 1inch Fusion V1.
Na época, o hacker “iniciou proativamente negociações em cadeia”, oferecendo devolver os ativos roubados em troca de uma recompensa white hat. A plataforma DeFi aceitou a proposta, e a maioria dos fundos foi devolvida com segurança.
Agora, TrustedVolumes afirmou que está “aberto à comunicação construtiva sobre um bug bounty e uma resolução mutuamente aceitável.”
Agregador de exchanges descentralizadas 1inch esclareceu que não houve impacto em seus sistemas, infraestrutura ou fundos dos usuários, explicando que “TrustedVolumes operam independentemente como provedores de liquidez, utilizados por múltiplos protocolos em toda a indústria, e não são exclusivos do 1inch.”
Explorações em DeFi registram aumento históricoEste ataque segue uma onda de explorações que abalou o setor DeFi no último mês. Na semana passada, a PeckShield revelou que o espaço cripto registrou 40 grandes ataques em abril, que esvaziaram aproximadamente US$ 647 milhões.
Essa cifra representa um aumento de 1.140% mês a mês (MoM) em relação aos US$ 52,2 milhões de março. Também representa um aumento de 292% em relação aos US$ 165 milhões que o setor DeFi perdeu durante o primeiro trimestre de 2026.
Notavelmente, os dois principais incidentes do mês, os ataques ao Drift Protocol por US$ 285 milhões e ao KelpDAO por US$ 290 milhões, representaram 91% dos fundos perdidos no mês passado. Além disso, agora estão entre os 10 maiores hacks desde 2021.
