Ще одна атака на мільйони доларів завдала удару сектору DeFi, коли постачальник ліквідності та мейкер TrustedVolumes став жертвою експлуатації смартконтракту в четвер вночі.
Довірені обсяги зазнали хакерської атаки на $6,7 млн
У четвер платформа DeFi TrustedVolumes, один із постачальників ліквідності та мейкерів 1inch, зазнала нової атаки, внаслідок якої було викрадено мільйони доларів у різних активах проекту.
За повідомленнями компаній з безпеки блокчейну PeckShield і Blockaid, нападник вкрав приблизно 6 мільйонів доларів США у вигляді Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT та USDT після використання вразливості в логіці перевірки підписів протоколу, що дозволило йому обійти перевірки авторизації та підробити торгівельні замовлення.
Варто зазначити, що хакер швидко обміняв усі активи на 2.513 ETH на децентралізованій біржі (DEX) і розподілив їх між трьома адресами. У пості на X TrustedVolumes підтвердив інцидент, поділившись адресами, на яких зараз знаходяться вкрадені кошти, і оновив оцінку збитків до приблизно $6,7 мільйона.
Уразливість полягала в налаштованому проксі-обміні RFQ, керованому TrustedVolumes. Крипто-дослідник Гамфрі пояснив, що «контракт Custom RFQ Swap Proxy містить функцію, призначену для керування білим списком «авторизованих підписантів замовлень». Такі механізми білого списку поширені в DeFi — лише адреси, що знаходяться у білому списку, можуть надсилати дійсні інструкції щодо транзакцій від імені протоколу».
Однак він зазначив, що «ця функція реєстрації є публічною і не має жодних модифікаторів дозволів». Як наслідок, атакувач використав цю публічну функцію в контракті, зареєструвавши себе як авторизованого підписanta замовлень.
«Оскільки будь-яка зовнішня адреса може викликати цю функцію, це еквівалентно наданню всім можливості зробити копію ключа від сейфа», — продовжив дослідник.
Той самий хакер, інша атака
Онлайн-звіти показали, що нападник був тим самим хакером відповідальним за експлуатацію контракту 1inch Fusion V1 Settlement на суму $5 мільйонів у березні 2025 року, жертвою якої в першу чергу була TrustedVolumes.
Гампрі підкреслив, що хоча той самий індивід здійснив обидва атаки, вони були значно різними на технічному рівні. За даними посту, вразливість 2025 року стосувалася низькорівневого маніпулювання пам’яттю EVM у контракті 1inch Fusion V1 Settlement.
На той момент хакер «проактивно ініціював переговори в мережі», запропонувавши повернути вкрадені активи за винагороду для білого капелюха. Платформа DeFi прийняла пропозицію, і більшість коштів було безпечно повернуто.
Зараз TrustedVolumes підтвердила, що вона «відкрита до конструктивного діалогу щодо програми винагороди за виявлення помилок та взаємоприйнятого рішення».
Агрегатор децентралізованих бірж 1inch зазначив, що на його системи, інфраструктуру та кошти користувачів не було впливу, пояснивши, що «TrustedVolumes функціонують незалежно як постачальники ліквідності, якими користуються кілька протоколів у галузі, і не є виключними для 1inch».
Витіки DeFi переживають історичний стрибокЦя атака слідує за хвилею витіків, які протягом останнього місяця потрясли сектор DeFi. На минулому тижні PeckShield повідомила, що криптовалютний простір зазнав 40 великих хаків у квітні, що призвело до втрат приблизно $647 мільйонів.
Ця цифра відображає зростання на 1 140% місяць до місяця (MoM) порівняно з $52,2 мільйона в березні. Вона також відображає зростання на 292% порівняно з $165 мільйонами, які сектор DeFi втратив за перший квартал 2026 року.
Варто зазначити, що дві найбільші інциденти місяця — витік коштів на $285 млн у Drift Protocol та на $290 млн у KelpDAO — становлять 91% усіх втрачених коштів минулого місяця. Крім того, вони тепер входять до Топ-10 хаків з 2021 року.
