TrustedVolumes потерял $6,7 млн в результате атаки. В 1inch исключили взлом инфраструктуры.

TrustedVolumes, поставщик ликвидности и резолвер, применяемый 1inch Fusion, стал жертвой хакерской атаки. Злоумышленники украли $5,87 млн в Wrapped Ether (WETH), Wrapped Bitcoin (WBTC), USDT и USDC.

В Blockaid связали инцидент с контролируемой TrustedVolumes инфраструктурой пользовательского свопа.

Впоследствии сумму ущерба уточнили до $6,7 млн.

Похищенные средства распределили по трем кошелькам: на двух по $3 млн, на третьем — ~$700 000.

Команда TrustedVolumes выразила готовность к «конструктивному диалогу» касательно вознаграждения за обнаружение уязвимости и «взаимоприемлемого решения».

Изъяны в сторонней инфраструктуре

Согласно CertiK, злоумышленник зарегистрировался в качестве авторизованного подписанта ордеров через публичную функцию. Затем он использовал эту опцию для исполнения ордеров, которые переводили средства с целевых счетов.

Инцидент выявил риски, связанные с применением сторонней инфраструктуры при выполнении операций на децентрализованных биржах: резолверы и маркетмейкеры могут управлять собственными контрактами, даже если это не затрагивает непосредственно основной протокол и обычных юзеров.

TrustedVolumes работает независимо в качестве поставщика ликвидности для нескольких проектов, включая 1inch.

Команда последнего заверила, что внутренние системы 1inch, инфраструктура и средства пользователей не пострадали.

Они подчеркнули, что сообщения, напрямую связывающие протокол с уязвимостью TrustedVolumes, «вводят в заблуждение»

Влияние на 1inch

Соучредитель 1inch Сергей Кунц отдельно пояснил, что TrustedVolumes работает независимо и не является эксклюзивным партнером 1inch.

По его словам, агрегатор отслеживает ситуацию и окажет помощь там, где это необходимо.

Исследователь в области безопасности Владимир Соболев, известный как Officer’s Notes, сообщил Cointelegraph, что «риска для пользователей 1inch нет». Он добавил, что уязвимость связана только с Trusted Volumes.

Эксперт отметил, что этот эксплойт указывает на более общие недостатки в практиках обеспечения безопасности криптовалют, где уязвимости могут быстро привести к немедленным убыткам.

«Нам нужно уделять больше внимания аварийным выключателям, мониторингу, механизмам защиты и т. д.», — предложил специалист.

И Blockaid, и Соболев указали, что атаку совершил тот же оператор, который стоял за инцидентом с 1inch Fusion V1 в марте 2025 года. В Blockaid уточнили, что в последнем взломе задействовали другую уязвимость.