Еще одна атака на сумму в несколько миллионов долларов поразила сектор DeFi, после того как поставщик ликвидности и мейкер TrustedVolumes стали жертвами эксплуатации смарт-контракта в четверг вечером.
Объёмы доверия пострадали от хакерской атаки на $6,7 млн
В четверг платформа DeFi TrustedVolumes, один из поставщиков ликвидности и мейкеров 1inch, подверглась новой атаке, в результате которой были похищены миллионы долларов в нескольких активах проекта.
Согласно отчетам компаний по безопасности блокчейна PeckShield и Blockaid, злоумышленник похитил примерно 6 миллионов долларов США в виде Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT и USDT, воспользовавшись уязвимостью в логике проверки подписи протокола, что позволило ему обойти проверки авторизации и подделывать торговые ордера.
Заметно, что хакер быстро обменял все активы на 2,513 ETH на децентрализованной бирже (DEX) и распределил их по трем адресам. В посте на X TrustedVolumes подтвердил инцидент, опубликовав адреса, на которых сейчас находятся похищенные средства, и обновил оценку убытков до примерно 6,7 миллиона долларов.
Уязвимость заключалась в пользовательском прокси-сервисе обмена RFQ, контролируемом TrustedVolumes. Криптоисследователь Хамфри объяснил, что «контракт пользовательского прокси-сервиса обмена RFQ содержит функцию, предназначенную для управления вайтлистом «авторизованных подписывающих заказы». Такие механизмы вайтлиста распространены в DeFi — только адреса, находящиеся в вайтлисте, могут отправлять действительные инструкции по транзакциям от имени протокола».
Однако он отметил, что «эта функция регистрации является публичной и не содержит никаких модификаторов разрешений». В результате атакующий воспользовался этой публичной функцией в контракте, зарегистрировав себя в качестве авторизованного подписывающего ордер.
«Поскольку любые внешние адреса могут вызывать эту функцию, это эквивалентно предоставлению всем возможности сделать копию ключа от сейфа», — продолжил исследователь.
Тот же хакер, другая атака
Онлайн-отчеты показали, что злоумышленник был тем же хакером ответственным за эксплуатацию контракта 1inch Fusion V1 Settlement на сумму 5 миллионов долларов в марте 2025 года, основной жертвой которой стали TrustedVolumes.
Хампри подчеркнул, что хотя один и тот же человек осуществил оба атаки, они значительно отличались на техническом уровне. Согласно сообщению, уязвимость 2025 года связана с низкоуровневым манипулированием памятью EVM в контракте 1inch Fusion V1 Settlement.
В то время хакер «проактивно инициировал оффчейн переговоры», предложив вернуть похищенные активы в качестве вознаграждения для белой шляпы. Платформа DeFi приняла предложение, и большая часть средств была безопасно возвращена.
Теперь TrustedVolumes подтвердила, что она «открыта для конструктивного диалога относительно баг-баунти и взаимоприемлемого решения».
Агрегатор децентрализованных бирж 1inch уточнил, что на его системы, инфраструктуру и средства пользователей это не оказало влияния, объяснив, что «TrustedVolumes функционируют независимо как поставщики ликвидности, используемые множеством протоколов в отрасли, и не являются эксклюзивными для 1inch».
Взломы DeFi показали исторический ростЭта атака следует за серией инцидентов, потрясших сектор DeFi за последний месяц. На прошлой неделе PeckShield сообщила, что в апреле в крипто-сфере произошло 40 крупных хаков, в результате которых было похищено примерно 647 миллионов долларов.
Эта цифра означает рост на 1 140% по сравнению с месяцем назад (MoM) с $52,2 миллиона в марте. Она также отражает рост на 292% по сравнению с $165 миллионами, которые децентрализованный финансовый сектор потерял в первом квартале 2026 года.
Заметно, что два крупнейших инцидента месяца — эксплуатация Drift Protocol на $285 млн и KelpDAO на $290 млн — составили 91% всех утраченных средств в прошлом месяце. Кроме того, они теперь входят в десятку крупнейших хаков с 2021 года.
