TrustedVolumes, ein Market Maker und Liquiditätsprovider für 1inch, verliert in einem laufenden Exploit Mittel in Höhe von rund 6,7 Millionen Dollar, bestätigte das Unternehmen am Donnerstag. Die Blockchain-Sicherheitsfirma Blockaid hatte den Angriff am Mittwoch zuerst gemeldet und die Verluste zunächst mit 5,87 Millionen Dollar beziffert, aufgeteilt in 1.291,16 WETH, 206.282 USDT, 16,939 WBTC und 1.268.771 USDC, entwendet aus dem von TrustedVolumes kontrollierten Resolver-Vertrag auf Ethereum. TrustedVolumes erklärte, man prüfe eine Bug-Bounty, um den Vorfall abzuschließen.
Warum das wichtig ist
Blockaid brachte die Angreiferin mit dem Exploit von 1inch Fusion V1 im März 2025 in Verbindung, bei dem rund 5 Millionen Dollar abgezogen wurden — erklärte aber, dass der Einstiegspunkt diesmal ein anderer sei. Der aktuelle Angriff zielt auf einen von TrustedVolumes kontrollierten Custom-RFQ-Swap-Proxy, nicht auf den Kerncode von 1inch. 1inch bekräftigte diesen Punkt öffentlich und stellte klar, dass TrustedVolumes unabhängig arbeite und von mehreren Protokollen genutzt werde, ohne Auswirkungen auf Systeme, Infrastruktur oder Nutzergelder von 1inch.
Diese Unterscheidung ist für die Ansteckungsanalyse relevant: Der Aggregator ist sauber, doch eine Wiederholungstäterin hat innerhalb von acht Wochen zwei separate Lücken im 1inch-Liquiditäts-Stack gefunden. TrustedVolumes ist ein namentlich bekannter Kontrahent eines führenden DEX-Aggregators, und Resolver sitzen genau auf dem Routing-Pfad, den Nutzerinnen und Nutzer als 1inch-Abwicklung wahrnehmen.
Marktauswirkungen
Der Exploit fällt in eine ohnehin brutale Phase für DeFi. Laut DefiLlama-Daten wurden im April 635,2 Millionen Dollar durch Hacks und Exploits gestohlen — der höchste Monatswert seit dem Bybit-Coup im Februar mit fast 1,5 Milliarden Dollar. Der TrustedVolumes-Hit ist bereits der fünfte große Exploit seit Mai-Beginn, nach dem Social-Engineering-Angriff auf Drift über 285 Millionen Dollar und dem Kelp-DAO-Exploit über 293 Millionen Dollar. Bei einer bekannten Angreiferin, die ihre Vorgehensweise über aufeinanderfolgende Ziele wiederverwendet, und ohne öffentliche Festnahme oder Wiederbeschaffung, lautet die kurzfristige Lesart: Resolver-Level-Infrastruktur außerhalb der namentlich bekannten Protokolle ist die weiche Flanke, die die Branche noch nicht gehärtet hat.
Häufig gestellte Fragen
-
Wie viel wurde beim TrustedVolumes-Exploit entwendet?
Blockaid bezifferte die Verluste zunächst mit 5,87 Millionen Dollar, aufgeteilt in 1.291,16 WETH, 206.282 USDT, 16,939 WBTC und 1.268.771 USDC. TrustedVolumes korrigierte die Zahl später auf rund 6,7 Millionen Dollar.
-
Ist 1inch selbst vom TrustedVolumes-Exploit betroffen?
Nein. 1inch erklärte, TrustedVolumes arbeite als Liquiditätsprovider unabhängig und werde von mehreren Protokollen genutzt; Auswirkungen auf eigene Systeme, Infrastruktur oder Nutzergelder seien ausgeschlossen.
-
Wer steckt hinter dem Angriff auf TrustedVolumes?
Das Blockchain-Sicherheitsunternehmen Blockaid brachte die Angreiferin mit derselben Entität in Verbindung, die im März 2025 1inch Fusion V1 exploitiert und rund 5 Millionen Dollar erbeutet hatte. Diesmal werde laut Blockaid eine andere Schwachstelle in einem von TrustedVolumes kontrollierten Custom-RFQ-Swap-Proxy…
-
Was ist TrustedVolumes und welche Rolle spielt es bei 1inch?
TrustedVolumes ist ein unabhängiger Market Maker und Liquiditätsprovider, der Liquidität für 1inch bereitstellt und zugleich von zahlreichen weiteren Protokollen in der Branche genutzt wird. Das Unternehmen ist nicht exklusiv für 1inch tätig.
-
Wie fügt sich dieser Vorfall in den breiteren DeFi-Exploit-Trend ein?
Laut DefiLlama wurden im April 635,2 Millionen Dollar durch DeFi-Hacks und Exploits gestohlen — der höchste Monatswert seit dem Bybit-Coup im Februar mit fast 1,5 Milliarden Dollar. Der TrustedVolumes-Hit ist der fünfte große Exploit seit Mai-Beginn, nach den Angriffen auf Drift (285 Mio. $) und Kelp DAO (293 Mio. $).