Ăšjabb többmilliĂł dolláros támadás Ă©rte a DeFi-szektort. EzĂşttal a TrustedVolumes likviditásszolgáltatĂł Ă©s piacĂ©pĂtĹ‘ cĂ©get használták ki egy okosszerzĹ‘dĂ©s-sebezhetĹ‘sĂ©gen keresztĂĽl csĂĽtörtök este.
KapcsolĂłdĂł olvasnivalĂł: A Solana Ăşj emelkedĂ©sre számĂt a háromszög kitörĂ©se után – A 96 dollár a következĹ‘ állomás?
A TrustedVolumes-t 6,7 millió dolláros hack érte
CsĂĽtörtökön a TrustedVolumes DeFi-platformot – amely az 1inch egyik likviditásszolgáltatĂłja Ă©s piacĂ©pĂtĹ‘je – egy Ăşj kihasználás Ă©rte, amely több milliĂł dollár Ă©rtĂ©kű eszközt szivattyĂşzott ki a projektbĹ‘l. A PeckShield Ă©s Blockaid blokklánc-biztonsági cĂ©gek szerint a támadĂł körĂĽlbelĂĽl 6 milliĂł dollárt lopott el Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT Ă©s USDC formájában. Ezt a protokoll aláĂrás-Ă©rvĂ©nyesĂtĂ©si logikájának egy hibájának kihasználásával tettĂ©k, amely lehetĹ‘vĂ© tette számukra, hogy megkerĂĽljĂ©k a hitelesĂtĂ©si ellenĹ‘rzĂ©seket Ă©s hamis kereskedĂ©si megbĂzásokat hozzanak lĂ©tre.
Figyelemre mĂ©ltĂł, hogy a hacker gyorsan átváltotta az összes ellopott eszközt 2513 ETH-ra egy decentralizált tĹ‘zsdĂ©n (DEX), Ă©s szĂ©tszĂłrta azokat három kĂĽlönbözĹ‘ cĂmre. Egy X-en közzĂ©tett bejegyzĂ©sben a TrustedVolumes megerĹ‘sĂtette az incidenst, megosztotta az ellopott összegeket jelenleg tartĂł cĂmeket, Ă©s a becsĂĽlt vesztesĂ©get körĂĽlbelĂĽl 6,7 milliĂł dollárra frissĂtette.
A sebezhetĹ‘sĂ©g egy, a TrustedVolumes által irányĂtott egyedi RFQ (árjegyzĂ©si kĂ©relem) swap proxyban volt. Humphrey kriptokutatĂł elmagyarázta, hogy „az Egyedi RFQ Swap Proxy szerzĹ‘dĂ©s rendelkezik egy funkciĂłval, amely a 'jogosult megbĂzás-aláĂrĂł' fehĂ©rlistát hivatott kezelni. Ezek a fehĂ©rlista-rendszerek gyakoriak a DeFi-ben – csak a listán szereplĹ‘ cĂmek bocsáthatnak ki Ă©rvĂ©nyes tranzakciĂłs utasĂtásokat a protokoll nevĂ©ben.” Azonban rámutatott, hogy „ez a regisztráciĂłs funkciĂł nyilvános, Ă©s nincsenek engedĂ©lykorlátozásai.” Ennek eredmĂ©nyekĂ©nt a támadĂł ezt a nyilvános funkciĂłt használta fel, hogy saját magát hozzáadja jogosult megbĂzás-aláĂrĂłnak. „Mivel bármely kĂĽlsĹ‘ cĂm meghĂvhatja ezt a funkciĂłt, olyan, mintha mindenkinek megadnánk a lehetĹ‘sĂ©get, hogy lemásolja a szĂ©f kulcsát” – tette hozzá a kutatĂł.
Ugyanaz a hacker, más támadás
Online jelentésekből kiderült, hogy a támadó ugyanaz a személy volt, aki a 2025 márciusában az 1inch Fusion V1 Settlement szerződésének 5 millió dolláros kihasználása mögött állt, ahol a TrustedVolumes szintén a fő áldozat volt. Humphrey megjegyezte, hogy bár ugyanaz a személy hajtotta végre mindkét támadást, technikai szinten nagyon különböztek egymástól.
A bejegyzĂ©s szerint a 2025-ös sebezhetĹ‘sĂ©g alacsony szintű EVM memĂłriamanipuláciĂłt foglalt magában az 1inch Fusion V1 Settlement szerzĹ‘dĂ©sben. Akkor a hacker „proaktĂvan kezdemĂ©nyezett láncon belĂĽli tárgyalásokat”, felajánlva az ellopott összegek visszaszolgáltatását egy white hat bug bounty fejĂ©ben. A DeFi-platform elfogadta az ajánlatot, Ă©s a pĂ©nz nagy rĂ©sze biztonságban visszakerĂĽlt. Most a TrustedVolumes kijelentette, hogy „nyitott a konstruktĂv kommunikáciĂłra egy bug bounty-rĂłl Ă©s egy kölcsönösen elfogadhatĂł megoldásrĂłl.”
Az 1inch decentralizált tőzsdei aggregátor tisztázta, hogy rendszerei, infrastruktúrája és felhasználói alapjai nem érintettek. Elmagyarázta, hogy „a TrustedVolumes függetlenül működik likviditásszolgáltatóként, amelyet számos protokoll használ az iparágban, és nem kizárólagos az 1inch számára.”
A DeFi-kihasználások történelmi növekedést mutatnak
Ezt a támadást a kihasználások hulláma követte, amely az elmúlt hónapban megrázta a DeFi-szektort. A múlt héten a PeckShield jelentette, hogy a kriptoszektor áprilisban 40 nagy hacket szenvedett el, amelyek körülbelül 647 millió dollárt szivattyúztak ki.
Kapcsolódó olvasnivaló: 150 millió dolláros kripto-Ponzi összeomlott: 41,5 millió dollár befagyasztva a DSJ Exchange összeomlásában
Ez a szám 1140%-os hónapról hónapra történő növekedést jelent a márciusi 52,2 millió dollárhoz képest. Ez egyben 292%-os ugrást is jelent a 2026 első negyedévében a DeFi-szektorban elvesztett 165 millió dollárhoz képest. Figyelemre méltó, hogy a hónap két legnagyobb incidense – a Drift Protocol 285 millió dolláros és a KelpDAO 290 millió dolláros kihasználása – tette ki az áprilisban elvesztett összegek 91%-át. Ez a két támadás most a 2021 óta elkövetett Top 10 hack közé tartozik.
Kiemelt kép az Unsplash.com-ról, diagram a TradingView.com-ról
Gyakran Ismételt Kérdések
Itt találhatĂł egy GYIK-lista a TrustedVolumes hackrĹ‘l, termĂ©szetes, világos Ă©s tömör stĂlusban Ărva
GYIK A TrustedVolumes 67 Millió Dolláros Hackje
Kezdő Szintű Kérdések
K Mi történt a TrustedVolumes-szal
V Egy TrustedVolumes nevű DeFi-platformot feltörtek A támadó körülbelül 67 millió dollár értékű kriptovalutát lopott el az okosszerződéseiből
K Biztonságban van a pénzem a TrustedVolumes-on jelenleg
V Nem A platformot kompromittálták Ha voltak pĂ©nzeszközei az Ă©rintett szerzĹ‘dĂ©sekben, azok valĂłszĂnűleg elvesztek Azonnal ellenĹ‘rizze a TrustedVolumes hivatalos bejelentĂ©seit a helyreállĂtási tervrĹ‘l vagy befagyasztásrĂłl szĂłlĂł frissĂtĂ©sekĂ©rt
K Mi az az okosszerződéses hack
V Az okosszerződés olyan, mint egy önvégrehajtó digitális megállapodás a blokkláncon A hack azt jelenti, hogy a támadó hibát talált abban a kódban – mint egy rejtett hátsó ajtó vagy logikai hiba – és ezt használta fel a pénzeszközök kiszivattyúzására
K Visszakapom az ellopott pénzemet
V Nagyon valĂłszĂnűtlen A legtöbb DeFi-hack esetĂ©ben az ellopott összegeket gyorsan áthelyezik Ă©s kimossák keverĹ‘kön vagy más blokkláncokon keresztĂĽl, ami rendkĂvĂĽl megnehezĂti a visszaszerzĂ©st Nincs garancia
K Hogyan történhetett ez 2026-ban Nem biztonságosabbak már a DeFi-platformok
V Sajnos nem Bár a biztonság javult, a hackerek is egyre kifinomultabbak Az Ăşj összetett protokollok, a sietĹ‘s kĂłd frissĂtĂ©sek Ă©s az oracle manipuláciĂłs támadások továbbra is gyakoriak 2026-ban ezeknek a kihasználásoknak a meredek növekedĂ©sĂ©t tapasztaltuk
Haladó Szintű Kérdések
K Milyen konkrĂ©t tĂpusĂş kihasználást használtak a TrustedVolumes ellen
V Bár a teljes audit függőben van, a korai jelentések egy flash loan támadást sugallnak, amelyet ároracle manipulációval kombináltak A támadó hatalmas mennyiségű kriptót kölcsönzött fedezet nélkül, mesterségesen megváltoztatott egy tokenárat a TrustedVolumes-on, majd nyereséggel eladta a kölcsönzött eszközöket, mielőtt visszafizette volna a kölcsönt
K Ez egy hiba volt a kódban, vagy egy privát kulcsot loptak el
V Ăšgy tűnik, hogy egy okosszerzĹ‘dĂ©s logikai hibárĂłl van szĂł, nem ellopott admin kulcsrĂłl A támadĂł kihasznált egy hibát abban, hogy a platform hogyan számĂtotta ki a fedezeti arányokat egy adott kereskedĂ©si funkciĂł során Ez azt jelenti, hogy maga a kĂłd volt a sebezhetĹ‘, nem egy feltört jelszĂł
```