1inch provedor de liquidez TrustedVolumes é hackeado: US$ 6,7 milhões roubados, antigos atacantes retornam

1inch 的 provedor de liquidez TrustedVolumes e decodificador de pedidos RFQ, TrustedVolumes, foi hackeado em 7 de maio, com perdas de cerca de US$ 6,7 milhões. A matéria da The Defiant resumiu o ocorrido: o atacante se registrou, via o próprio contrato de proxy de transações RFQ da TrustedVolumes, como “signatário de pedidos autorizado” e, em seguida, usou essa permissão para esvaziar os tokens autorizados existentes da carteira-alvo. A 1inch já se desvinculou publicamente — o contrato inteligente central, os sistemas de back-end e os fundos mantidos pelos usuários não foram afetados; a falha está no contrato de proxy personalizado da própria TrustedVolumes.

Caminho do ataque: abuso de autorizações de token existentes em nome de um “signatário de pedidos”

Detalhes técnicos deste ataque:

Ponto vulnerável: uma função pública do contrato de proxy de transações RFQ, da própria TrustedVolumes

Caminho do ataque: o atacante chama essa função para se registrar como “signatário de pedidos autorizado” (authorised order signer)

Saque efetivo: após obter a autorização, usa as autorizações de tokens existentes do usuário para com esse contrato de proxy e transfere fundos de múltiplas carteiras

Parte do usuário: não é necessário assinar nenhuma nova transação; apenas autorizações existentes já são suficientes para que os fundos sejam retirados

O que torna esse caminho de ataque especialmente digno de atenção é que, para os usuários, “não há nenhum alerta de solicitação de assinatura de transação suspeita” — o ataque acontece totalmente na camada de contratos. Isso reforça para os usuários de DeFi a importância de revogar periodicamente as autorizações de tokens que deixaram de usar, inclusive para protocolos confiáveis.

A perda de US$ 6,7 milhões corresponde ao esvaziamento de quatro grandes denominações

Detalhamento dos ativos roubados:

1.291,16 WETH

206.282 USDT

16,939 WBTC

1.268.771 USDC

No primeiro alerta, o Blockaid indicou uma perda de cerca de US$ 5,87 milhões, e a TrustedVolumes confirmou posteriormente o valor atualizado para US$ 6,7 milhões — a diferença vem do valor dos tokens e do monitoramento adicional dos fundos roubados.

Declaração de corte da 1inch: contrato central não foi afetado

Resposta oficial da 1inch para o incidente:

Contratos inteligentes da 1inch: não foram afetados

Sistemas de back-end da 1inch: não foram afetados

Fundos dos usuários da 1inch: não foram afetados

A falha deste caso está no contrato de proxy próprio da TrustedVolumes, não na infraestrutura central da 1inch

O significado prático desse corte para usuários de DeFi: usuários que usam a interface principal da 1inch para transações rotineiras não são afetados por este incidente; porém, usuários que já concederam autorizações de token ao contrato de proxy da TrustedVolumes — mesmo que não usem diretamente a 1inch — também podem estar dentro do escopo afetado. A empresa de análise de segurança Blockaid especula que o atacante deste ataque seja o mesmo responsável pelo incidente de ataque à 1inch Fusion v1 em março de 2025.

Próximos eventos específicos a serem acompanhados: a TrustedVolumes divulgará valores de recompensa (o cointelegraph já publicou o bounty), o fluxo de fundos das carteiras do atacante e se a 1inch lançará novas exigências de auditoria de padrões de segurança para o ecossistema dos decodificadores RFQ.

Este artigo “O provedor de liquidez da 1inch TrustedVolumes sofreu hack: US$ 6,7 milhões foram roubados, e o antigo atacante voltou” apareceu primeiro em 鏈新聞 ABMedia.