Další multimilionový útok zasáhl oblast DeFi. Tentokrát byl poskytovatel likvidity a tvůrce trhu TrustedVolumes ve čtvrtek večer zneužit prostřednictvím zranitelnosti chytré smlouvy.
Související čtení: Solana míří k novému růstu po prolomení trojúhelníku – Je 96 dolarů další zastávkou?
TrustedVolumes Zasažen Hackem za 6,7 Milionu Dolarů
Ve čtvrtek byla platforma DeFi TrustedVolumes – jeden z poskytovatelů likvidity a tvůrců trhu 1inch – zasažena novým zneužitím, které z projektu odčerpalo miliony dolarů v různých aktivech. Podle bezpečnostních firem v oblasti blockchainu PeckShield a Blockaid útočník ukradl přibližně 6 milionů dolarů v Wrapped Ethereum (WETH), Wrapped Bitcoin (WBTC), USDT a USDC. Udělal to zneužitím chyby v logice ověřování podpisů protokolu, která mu umožnila obejít autorizační kontroly a vytvářet falešné obchodní příkazy.
Je pozoruhodné, že hacker rychle vyměnil všechna ukradená aktiva za 2 513 ETH na decentralizované burze (DEX) a rozptýlil je na tři různé adresy. V příspěvku na X TrustedVolumes potvrdil incident, sdílel adresy, které v současnosti drží ukradené prostředky, a aktualizoval odhadovanou ztrátu na zhruba 6,7 milionu dolarů.
Zranitelnost byla ve vlastním proxy pro swapy RFQ (žádost o cenovou nabídku) kontrolovaném TrustedVolumes. Kryptoměnový výzkumník Humphrey vysvětlil, že „smlouva Custom RFQ Swap Proxy má funkci určenou ke správě bílé listiny ‚autorizovaných podepisujících objednávek‘. Tyto systémy bílých listin jsou v DeFi běžné – pouze adresy na seznamu mohou vydávat platné transakční instrukce jménem protokolu.“ Nicméně poukázal na to, že „tato registrační funkce je veřejná a nemá žádná omezení oprávnění.“ V důsledku toho útočník použil tuto veřejnou funkci k přidání sebe sama jako autorizovaného podepisujícího objednávky. „Protože tuto funkci může zavolat jakákoli externí adresa, je to jako dát každému schopnost zkopírovat klíč od trezoru,“ dodal výzkumník.
Stejný Hacker, Jiný Útok
Online zprávy odhalily, že útočník byl stejná osoba, která stála za zneužitím smlouvy 1inch Fusion V1 Settlement v březnu 2025 v hodnotě 5 milionů dolarů, kde TrustedVolumes byl také hlavní obětí. Humphrey poznamenal, že zatímco stejná osoba provedla oba útoky, na technické úrovni byly velmi odlišné.
Podle příspěvku se zranitelnost v roce 2025 týkala manipulace s pamětí EVM na nízké úrovni ve smlouvě 1inch Fusion V1 Settlement. V té době hacker „proaktivně zahájil on-chain vyjednávání“ a nabídl vrácení ukradených prostředků výměnou za odměnu white hat. Platforma DeFi nabídku přijala a většina peněz byla bezpečně vrácena. Nyní TrustedVolumes uvedl, že je „otevřen konstruktivní komunikaci ohledně odměny za nalezení chyby a vzájemně přijatelného řešení.“
Agregátor decentralizovaných burz 1inch objasnil, že jeho systémy, infrastruktura a uživatelské prostředky nebyly ovlivněny. Vysvětlil, že „TrustedVolumes funguje nezávisle jako poskytovatel likvidity, používaný mnoha protokoly napříč odvětvím, a není výhradní pro 1inch.“
DeFi Exploity Zaznamenávají Historický Nárůst
Tento útok následuje po vlně zneužití, která otřásla sektorem DeFi za poslední měsíc. Minulý týden PeckShield uvedl, že kryptoměnový prostor zaznamenal v dubnu 40 velkých hacků, které odčerpaly přibližně 647 milionů dolarů.
Související čtení: Kryptoměnové Ponzi schéma za 150 milionů dolarů se hroutí: 41,5 milionu dolarů zmrazeno při kolapsu burzy DSJ Exchange
Toto číslo představuje meziměsíční nárůst o 1 140 % oproti březnovým 52,2 milionům dolarů. Představuje také skok o 292 % oproti 165 milionům dolarů ztraceným v sektoru DeFi během prvního čtvrtletí roku 2026. Je pozoruhodné, že dva největší incidenty měsíce – zneužití Drift Protocol za 285 milionů dolarů a zneužití KelpDAO za 290 milionů dolarů – představovaly 91 % prostředků ztracených v dubnu. Tyto dva útoky jsou nyní mezi 10 největšími hacky od roku 2021.
Doporučený obrázek z Unsplash.com, Graf z TradingView.com
Často kladené otázky
Zde je seznam často kladených otázek o hacku TrustedVolumes napsaný přirozeným, jasným a stručným tónem
FAQ Hack TrustedVolumes za 6,7 milionu dolarů
Otázky pro začátečníky
Otázka: Co se stalo s TrustedVolumes
Odpověď: Platforma DeFi s názvem TrustedVolumes byla hacknuta. Útočník ukradl přibližně 6,7 milionu dolarů v kryptoměně z jejích chytrých smluv.
Otázka: Jsou moje peníze na TrustedVolumes nyní v bezpečí
Odpověď: Ne. Platforma byla kompromitována. Pokud jste měli prostředky v dotčených smlouvách, jsou pravděpodobně ztraceny. Měli byste okamžitě zkontrolovat oficiální oznámení od TrustedVolumes ohledně aktualizací o plánu obnovy nebo zmrazení.
Otázka: Co je to hack chytré smlouvy
Odpověď: Chytrá smlouva je jako samočinně vykonávající digitální dohoda na blockchainu. Hack znamená, že útočník našel chybu v tomto kódu – jako skrytá zadní vrátka nebo logickou chybu – a použil ji k vyčerpání prostředků.
Otázka: Dostanu své ukradené peníze zpět
Odpověď: Je to velmi nepravděpodobné. Ve většině DeFi hacků jsou ukradené prostředky rychle přesunuty a vyprány pomocí mixérů nebo jiných blockchainů, což činí jejich získání extrémně obtížným. Neexistuje žádná záruka.
Otázka: Jak se to mohlo stát v roce 2026? Nejsou DeFi platformy nyní bezpečnější
Odpověď: Bohužel ne. I když se bezpečnost zlepšila, hackeři jsou také stále sofistikovanější. Nové složité protokoly, uspěchané aktualizace kódu a útoky na manipulaci s orákuly zůstávají běžné. Rok 2026 zaznamenal prudký nárůst těchto zneužití.
Pokročilé otázky
Otázka: Jaký konkrétní typ zneužití byl použit na TrustedVolumes
Odpověď: I když probíhá úplný audit, rané zprávy naznačují flash loan útok kombinovaný s manipulací cenového orákula. Útočník si půjčil obrovské množství kryptoměny bez zajištění, uměle změnil cenu tokenu na TrustedVolumes a poté prodal vypůjčená aktiva se ziskem před splacením půjčky.
Otázka: Byla to chyba v kódu, nebo byl ukraden soukromý klíč
Odpověď: Zdá se, že se jedná o logickou chybu v chytré smlouvě, nikoli o krádež admin klíče. Útočník zneužil chybu v tom, jak platforma počítala poměry zajištění během specifické obchodní funkce. To znamená, že zranitelný byl samotný kód, nikoli kompromitované heslo.