TrustedVolumes atingido por exploração de US$ 6,7 milhões enquanto 1inch nega violação

TrustedVolumes, um criador de mercado independente e resolvedor usado pela 1inch Fusion, confirmou que foi explorado e disse que cerca de US$ 6,7 milhões em fundos roubados estão sendo mantidos em três endereços Ethereum.

Em uma postagem na quinta-feira X, o formador de mercado disse que os fundos roubados foram divididos em três carteiras, com dois endereços cada um contendo cerca de US$ 3 milhões e um terceiro contendo cerca de US$ 700.000. TrustedVolumes disse que estava aberto a “comunicação construtiva” sobre uma recompensa por bugs e uma “resolução mutuamente aceitável”.

A confirmação veio depois que a Blockaid, empresa de segurança da Web3, disse que seu sistema de detecção de exploração identificou uma exploração contínua do Ethereum visando TrustedVolumes. A Blockaid disse que o ataque envolveu uma infraestrutura de troca personalizada controlada por TrustedVolumes. A Blockaid estimou inicialmente que cerca de US$ 5,87 milhões foram extraídos, incluindo Wrapped Ether, USDT, Wrapped Bitcoin e USDC.

A empresa de segurança Blockchain CertiK disse que o invasor se registrou como assinante de ordem permitido por meio de uma função pública e, em seguida, usou essa autorização para executar ordens que transferiam fundos dos alvos.

O incidente destaca os riscos em torno da infraestrutura de terceiros utilizada na execução descentralizada de exchanges, onde os resolvedores e os criadores de mercado podem operar os seus próprios contratos, mesmo quando o protocolo principal e os utilizadores comuns não são diretamente afetados. TrustedVolumes opera de forma independente como provedor de liquidez para vários protocolos, incluindo 1inch, que afirmou que seus próprios sistemas, infraestrutura e fundos de usuários não foram afetados.

O Cointelegraph entrou em contato com a TrustedVolumes para comentários adicionais, mas não recebeu resposta até a publicação.

Fonte: Volumes confiáveis

1inch diz que nenhum de seus protocolos foi violado

Em uma postagem X, 1inch disse que os relatórios que o vinculavam diretamente à exploração TrustedVolumes eram “enganosos”, acrescentando que “nem 1inch nem qualquer um dos protocolos de 1inch estão envolvidos”. A plataforma disse que “não houve impacto nos sistemas de 1 polegada, na infraestrutura ou nos fundos dos usuários”.

O cofundador da 1inch, Sergej Kunz, também disse que o TrustedVolumes opera de forma independente e não é exclusivo da 1inch. “Embora seja verdade que 1inch usa TrustedVolumes como resolvedor, somos um entre muitos”, disse Kunz.

Kunz disse que o enquadramento da exploração como um incidente relacionado ao 1inch foi “confuso e prejudicial”, acrescentando que o 1inch está monitorando a situação com parceiros de segurança e ajudará quando apropriado.

Relacionado: Andre Cronje diz que DeFi ‘não é mais DeFi’ enquanto construtores debatem disjuntores

O pesquisador de segurança Vladimir Sobolev, conhecido como Officer’s Notes on X, também disse ao Cointelegraph que “não havia risco para usuários de 1 polegada”, acrescentando que a exploração estava relacionada apenas ao TrustedVolumes.

Sobolev disse que a exploração aponta para fraquezas mais amplas nas práticas de segurança criptográfica, onde vulnerabilidades podem produzir rapidamente perdas imediatas.

“Falta-nos segurança em geral. Blockchains tendem a ter uma recompensa imediata”, disse Sobolev ao Cointelegraph. “Precisamos prestar mais atenção aos interruptores de desligamento, monitoramento, disjuntores, etc.”

Tanto Blockaid quanto Sobolev observaram que o ataque foi realizado pelo mesmo operador responsável pela exploração do resolvedor Fusion V1 de 1 polegada de março de 2025. No entanto, a Blockaid disse que o ataque mais recente envolveu uma vulnerabilidade diferente.

Em março de 2025, a 1inch disse que uma vulnerabilidade afetou os resolvedores que usavam uma implementação desatualizada do Fusion v1 em seus próprios contratos, enquanto os fundos do usuário final permaneciam seguros. Mais tarde, o SlowMist rastreou cerca de US$ 5 milhões em ativos roubados, incluindo USDC e Wrapped Ether.

O 1inch e o resolvedor afetado negociaram com o invasor, que devolveu a maior parte dos fundos roubados sob um acordo de recompensa por bug, de acordo com o post-mortem do 1inch e do Decurity.

Revista: Coreia do Norte nega hacks de criptografia, banco da Upbit testa Ripple: Asia Express