Kolejny wielomilionowy atak dotknął sektor DeFi. Tym razem dostawca płynności i animator rynku TrustedVolumes został wykorzystany przez lukę w inteligentnym kontrakcie w czwartek wieczorem.
**Powiązana lektura:** Solana celuje w nowy wzrost po wybiciu z trójkąta – czy 96 dolarów to następny przystanek?
**TrustedVolumes traci 6,7 miliona dolarów w wyniku ataku**
W czwartek platforma DeFi TrustedVolumes – jeden z dostawców płynności i animatorów rynku 1inch – padła ofiarą nowego exploita, który wyprowadził miliony dolarów w różnych aktywach z projektu. Według firm zajmujących się bezpieczeństwem blockchain, PeckShield i Blockaid, atakujący ukradł około 6 milionów dolarów w Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT i USDC. Zrobił to, wykorzystując lukę w podstawowej logice weryfikacji podpisów protokołu, co pozwoliło mu ominąć kontrole autoryzacji i tworzyć fałszywe zlecenia handlowe.
Co godne uwagi, haker szybko wymienił wszystkie skradzione aktywa na 2513 ETH na zdecentralizowanej giełdzie (DEX) i rozdzielił je na trzy różne adresy. W poście na X TrustedVolumes potwierdził incydent, udostępnił adresy, na których obecnie znajdują się skradzione środki, i zaktualizował szacowaną stratę do około 6,7 miliona dolarów.
Luka znajdowała się w niestandardowym proxy swapowym RFQ (request for quote) kontrolowanym przez TrustedVolumes. Badacz kryptowalut Humphrey wyjaśnił, że „kontrakt Custom RFQ Swap Proxy posiada funkcję mającą na celu zarządzanie białą listą „autoryzowanych sygnatariuszy zleceń”. Te systemy białych list są powszechne w DeFi – tylko adresy z listy mogą wydawać ważne instrukcje transakcyjne w imieniu protokołu.” Zauważył jednak, że „ta funkcja rejestracji jest publiczna i nie ma żadnych ograniczeń uprawnień.” W rezultacie atakujący użył tej publicznej funkcji, aby dodać siebie jako autoryzowanego sygnatariusza zleceń. „Ponieważ każdy zewnętrzny adres może wywołać tę funkcję, to tak, jakby dać każdemu możliwość skopiowania klucza do sejfu” – dodał badacz.
**Ten sam haker, inny atak**
Doniesienia online ujawniły, że atakujący był tą samą osobą, która stała za exploitem o wartości 5 milionów dolarów na kontrakcie 1inch Fusion V1 Settlement w marcu 2025 roku, gdzie TrustedVolumes również był główną ofiarą. Humphrey zauważył, że chociaż ta sama osoba przeprowadziła oba ataki, były one bardzo różne na poziomie technicznym.
Zgodnie z postem, luka z 2025 roku dotyczyła manipulacji pamięcią EVM niskiego poziomu w kontrakcie 1inch Fusion V1 Settlement. W tamtym czasie haker „proaktywnie rozpoczął negocjacje on-chain”, oferując zwrot skradzionych środków w zamian za nagrodę typu white hat. Platforma DeFi przyjęła ofertę i większość pieniędzy została bezpiecznie zwrócona. Teraz TrustedVolumes oświadczyło, że jest „otwarte na konstruktywną komunikację w sprawie nagrody za błąd i wzajemnie akceptowalnego rozwiązania.”
Agregator zdecentralizowanych giełd 1inch wyjaśnił, że jego systemy, infrastruktura i środki użytkowników nie zostały naruszone. Wyjaśnił, że „TrustedVolumes działa niezależnie jako dostawca płynności, używany przez wiele protokołów w całej branży i nie jest wyłączny dla 1inch.”
**Exploity DeFi notują historyczny wzrost**
Ten atak następuje po fali exploitów, która wstrząsnęła sektorem DeFi w ciągu ostatniego miesiąca. W zeszłym tygodniu PeckShield poinformował, że w kwietniu w przestrzeni kryptowalut miało miejsce 40 poważnych ataków hakerskich, które wyprowadziły około 647 milionów dolarów.
**Powiązana lektura:** 150-milionowe krypto piramidy upada: 41,5 miliona dolarów zamrożone po upadku giełdy DSJ
Ta liczba oznacza wzrost o 1140% miesiąc do miesiąca w porównaniu z 52,2 miliona dolarów w marcu. Stanowi również skok o 292% w porównaniu z 165 milionami dolarów utraconymi w sektorze DeFi w pierwszym kwartale 2026 roku. Co godne uwagi, dwa największe incydenty miesiąca – exploit Drift Protocol o wartości 285 milionów dolarów i exploit KelpDAO o wartości 290 milionów dolarów – stanowiły 91% środków utraconych w kwietniu. Te dwa ataki znajdują się obecnie w pierwszej dziesiątce największych ataków hakerskich od 2021 roku.
Obraz wyróżniony z Unsplash.com, Wykres z TradingView.com
Często zadawane pytania
Oto lista często zadawanych pytań dotyczących ataku na TrustedVolumes napisana naturalnym, jasnym i zwięzłym tonem
FAQ Atak na TrustedVolumes o wartości 6,7 miliona dolarów
Pytania dla początkujących
P Co się stało z TrustedVolumes
O Platforma DeFi o nazwie TrustedVolumes została zhakowana Atakujący ukradł około 6,7 miliona dolarów w kryptowalutach z jej inteligentnych kontraktów
P Czy moje pieniądze na TrustedVolumes są teraz bezpieczne
O Nie Platforma została naruszona Jeśli miałeś środki w dotkniętych kontraktach, prawdopodobnie zostały utracone Powinieneś natychmiast sprawdzić oficjalne ogłoszenia TrustedVolumes w sprawie aktualizacji dotyczących planu odzyskania lub zamrożenia
P Co to jest atak na inteligentny kontrakt
O Inteligentny kontrakt jest jak samowykonująca się cyfrowa umowa w blockchainie Atak oznacza, że atakujący znalazł wadę w tym kodzie – jak ukryte tylne drzwi lub błąd logiczny – i wykorzystał ją do wyprowadzenia środków
P Czy odzyskam skradzione pieniądze
O To bardzo mało prawdopodobne W większości ataków DeFi skradzione środki są szybko przenoszone i prane za pomocą mikserów lub innych blockchainów, co czyni odzyskanie niezwykle trudnym Nie ma gwarancji
P Jak to się stało w 2026 roku Czy platformy DeFi nie są teraz bezpieczniejsze
O Niestety nie Chociaż bezpieczeństwo się poprawiło, hakerzy również stają się coraz bardziej wyrafinowani Nowe złożone protokoły, pospieszne aktualizacje kodu i ataki manipulacji wyroczniami pozostają powszechne Rok 2026 przyniósł gwałtowny wzrost tych exploitów
Pytania zaawansowane
P Jaki konkretny typ exploita został użyty przeciwko TrustedVolumes
O Podczas gdy pełny audyt jest w toku, wczesne raporty sugerują atak flash loan połączony z manipulacją wyrocznią cenową Atakujący pożyczył ogromną ilość kryptowaluty bez zabezpieczenia, sztucznie zmienił cenę tokena na TrustedVolumes, a następnie sprzedał pożyczone aktywa z zyskiem przed spłatą pożyczki
P Czy to był błąd w kodzie, czy skradziono klucz prywatny
O Wygląda na to, że był to błąd logiki inteligentnego kontraktu, a nie kradzież klucza administracyjnego Atakujący wykorzystał lukę w sposobie, w jaki platforma obliczała wskaźniki zabezpieczenia podczas określonej funkcji handlowej Oznacza to, że sam kod był podatnością, a nie skompromitowane hasło