Chargement des prix…
🩸BEARISH

Exploit TrustedVolumes : 6,7 M$ drainés du fournisseur 1inch

Le même attaquant avait frappé 1inch Fusion V1 en mars et revient via une autre faille dans le resolver de TrustedVolumes — un mois d'avril marqué par 635 M$ de hacks qui se prolonge directement en mai.

TrustedVolumes, teneur de marché et fournisseur de liquidité pour 1inch, voit ses fonds saigner dans un exploit en cours qui a drainé environ 6,7 millions de dollars, a confirmé la société jeudi. La société de sécurité blockchain Blockaid a signalé l'attaque mercredi, estimant initialement les pertes à 5,87 millions de dollars répartis entre 1 291,16 WETH, 206 282 USDT, 16,939 WBTC et 1 268 771 USDC, retirés du contrat resolver de TrustedVolumes sur Ethereum. TrustedVolumes a déclaré qu'elle envisageait un bug bounty pour clore l'incident.

Pourquoi c'est important

Blockaid a relié l'attaquant à l'exploit de 1inch Fusion V1 de mars 2025, qui avait drainé environ 5 millions de dollars — mais précise que le point d'entrée est cette fois différent. Le coup actuel vise un proxy de swap RFQ personnalisé contrôlé par TrustedVolumes, et non le code principal de 1inch. 1inch a publiquement insisté sur ce point, soulignant que TrustedVolumes opère de manière indépendante et est utilisée par plusieurs protocoles, sans impact sur les systèmes, l'infrastructure ou les fonds des utilisateurs de 1inch.

Cette distinction compte pour évaluer la contagion : l'agrégateur est propre, mais un récidiviste a trouvé deux failles distinctes dans la stack de liquidité 1inch en huit semaines. TrustedVolumes est une contrepartie nommée d'un agrégateur DEX de premier plan, et les resolvers se trouvent sur le chemin de routage que les utilisateurs voient lorsque 1inch exécute leurs ordres.

Impact sur le marché

L'exploit survient dans une période déjà brutale pour la DeFi. Les données de DefiLlama montrent 635,2 millions de dollars volés via hacks et exploits en avril — le plus gros butin mensuel depuis le casse de Bybit de près de 1,5 milliard de dollars en février. Le coup contre TrustedVolumes est le cinquième exploit majeur depuis le début du mois de mai, après l'attaque par ingénierie sociale de Drift à 285 millions de dollars et l'exploit de Kelp DAO à 293 millions de dollars. Avec un attaquant connu qui réutilise ses méthodes sur des cibles successives et sans arrestation ni récupération publique, la lecture à court terme est que l'infrastructure au niveau des resolvers, en dehors des protocoles nommés, reste le point faible que l'industrie n'a pas encore consolidé.

Tokens associés
$ETH $BTC $USDT $USDC

Questions fréquemment posées

  1. Combien a été drainé lors de l'exploit de TrustedVolumes ?

    Blockaid a d'abord estimé les pertes à 5,87 millions de dollars, répartis entre 1 291,16 WETH, 206 282 USDT, 16,939 WBTC et 1 268 771 USDC. TrustedVolumes a ensuite actualisé le montant à environ 6,7 millions de dollars.

  2. 1inch lui-même est-il affecté par l'exploit de TrustedVolumes ?

    Non. 1inch a indiqué que TrustedVolumes opère indépendamment en tant que fournisseur de liquidité utilisé par plusieurs protocoles, et a confirmé l'absence d'impact sur ses systèmes, son infrastructure ou les fonds de ses utilisateurs.

  3. Qui se cache derrière l'attaque contre TrustedVolumes ?

    La société de sécurité blockchain Blockaid a relié l'attaquant à la même entité qui avait exploité 1inch Fusion V1 en mars 2025, drainant environ 5 millions de dollars. Blockaid précise que cette attaque exploite une vulnérabilité différente, dans un proxy de swap RFQ personnalisé contrôlé par TrustedVolumes.

  4. Qu'est-ce que TrustedVolumes et quel est son rôle sur 1inch ?

    TrustedVolumes est un teneur de marché et fournisseur de liquidité indépendant qui alimente 1inch en liquidité, et qui est également utilisé par plusieurs autres protocoles dans le secteur. Il n'est pas exclusif à 1inch.

  5. Comment cet exploit s'inscrit-il dans la tendance plus large des attaques DeFi ?

    Les données de DefiLlama montrent 635,2 millions de dollars volés lors de hacks et d'exploits DeFi en avril, le total mensuel le plus élevé depuis le casse de Bybit de près de 1,5 milliard de dollars en février. Le coup contre TrustedVolumes est le cinquième exploit majeur depuis le début du mois de mai, après les…

Attribution de la source
Agrégé de TheBlock · Vérifié · Dernière mise à jour il y a 60d
Ouvrir l'original →