Маркетмейкер TrustedVolumes, який забезпечує ліквідність для агрегатора децентралізованих бірж (DEX) 1inch, втратив майже $6 млн внаслідок злому.
Невідомі вивели активи в декількох токенах, включаючи 1291 Wrapped Ethereum (WETH) вартістю близько $3,02 млн, 16,94 Wrapped Bitcoin (WBTC) на $1,37 млн, а також стейблкоіни USDC на $1,26 млн і USDT приблизно на $206 00.
Фахівці компанії Blockaid, що працює у сфері кібербезпеки, назвали причиною успішності атаки вразливість у механізмі перевірки цифрових підписів усередині смарт-контракту протоколу. Хакер використовував публічну функцію контракту, щоб зареєструвати власну адресу як дозволений підписувач торгових ордерів.
Зловмисник отримав можливість підробляти ордери та виводити кошти користувачів, використовуючи раніше видані дозволи на доступ до активів. Після злому TrustedVolume більшість викрадених коштів було конвертовано в ефір. Потім невідомий розподілив активи за декількома криптогаманцями задля приховання походження коштів та ускладнення їх відстеження.
Команда проекту підтвердила факт злому та повідомила про початок розслідування інциденту.
За атакою, ймовірно, стоїть той самий хакер, який у березні 2025 року брав участь у зламі протоколу 1inch Fusion V1, припустили представники Blockaid. .
Раніше експерти компанії PeckShieldAlert, що спеціалізується на кібербезпеці, повідомили про крадіжку понад 400 000 стейблкоїнів USDT із системи криптопроекту Aethir через інструмент AethirOFTAdapter, що використовується для переміщення токенів між блокчейнами.