A TrustedVolumes, formadora de mercado e provedora de liquidez para a 1inch, está a perder fundos num exploit ativo que já drenou cerca de 6,7 milhões de dólares, confirmou a empresa na quinta-feira. A empresa de segurança blockchain Blockaid foi a primeira a assinalar o ataque na quarta-feira, inicialmente estimando perdas de 5,87 milhões de dólares distribuídos entre 1.291,16 WETH, 206.282 USDT, 16,939 WBTC e 1.268.771 USDC, levantados do contrato de resolver da TrustedVolumes na Ethereum. A TrustedVolumes disse que está a avaliar a possibilidade de oferecer uma recompensa por bug para encerrar o incidente.
Porque importa
A Blockaid associou o atacante ao exploit do 1inch Fusion V1 de março de 2025, que drenou cerca de 5 milhões de dólares, mas indicou que, desta vez, o ponto de entrada é diferente. O ataque atual tem como alvo um proxy de swap RFQ personalizado controlado pela TrustedVolumes, e não o código central da 1inch. A 1inch sublinhou o mesmo ponto publicamente, esclarecendo que a TrustedVolumes opera de forma independente e é utilizada por vários protocolos, sem qualquer impacto nos sistemas, na infraestrutura ou nos fundos dos utilizadores da 1inch.
Esta distinção é relevante para avaliar o risco de contágio: o agregador está intacto, mas um atacante reincidente encontrou, em oito semanas, duas falhas separadas na stack de liquidez da 1inch. A TrustedVolumes é uma contraparte identificada de um dos maiores agregadores de DEX, e os resolvers situam-se no caminho de encaminhamento que os utilizadores veem quando a 1inch executa as ordens.
Impacto no mercado
O exploit surge num período já bastante difícil para a DeFi. Os dados da DefiLlama indicam que foram roubados 635,2 milhões de dólares em hacks e exploits ao longo de abril — o maior volume mensal desde o assalto de quase 1,5 mil milhões de dólares à Bybit, em fevereiro. O ataque à TrustedVolumes é o quinto grande exploit desde o início de maio, depois do ataque de engenharia social de 285 milhões de dólares à Drift e do exploit de 293 milhões de dólares à Kelp DAO. Com um atacante conhecido a reutilizar métodos em alvos sucessivos e sem qualquer detenção pública ou recuperação de fundos, a leitura para o curto prazo é que a infraestrutura ao nível dos resolvers, fora dos protocolos identificados, continua a ser o calcanhar de Aquiles que a indústria ainda não conseguiu endurecer.
Perguntas frequentes
-
Quanto foi drenado no exploit da TrustedVolumes?
A Blockaid estimou inicialmente perdas de 5,87 milhões de dólares, distribuídas por 1.291,16 WETH, 206.282 USDT, 16,939 WBTC e 1.268.771 USDC. A TrustedVolumes atualizou depois o valor para cerca de 6,7 milhões de dólares.
-
A 1inch é afetada pelo exploit da TrustedVolumes?
Não. A 1inch afirmou que a TrustedVolumes opera de forma independente como provedora de liquidez utilizada por vários protocolos e confirmou que não há qualquer impacto nos seus sistemas, na sua infraestrutura ou nos fundos dos utilizadores.
-
Quem está por detrás do ataque à TrustedVolumes?
A empresa de segurança blockchain Blockaid associou o atacante à mesma entidade que explorou o 1inch Fusion V1 em março de 2025, tendo drenado cerca de 5 milhões de dólares. A Blockaid indicou que este ataque explora uma vulnerabilidade diferente, num proxy de swap RFQ personalizado controlado pela TrustedVolumes.
-
O que é a TrustedVolumes e qual é o seu papel na 1inch?
A TrustedVolumes é uma formadora de mercado e provedora de liquidez independente que fornece liquidez para a 1inch e é também utilizada por vários outros protocolos no setor. Não é exclusiva da 1inch.
-
Como se enquadra esta situação na tendência mais ampla de exploits na DeFi?
Os dados da DefiLlama mostram 635,2 milhões de dólares roubados em hacks e exploits de DeFi durante abril, o maior total mensal desde o assalto de quase 1,5 mil milhões de dólares à Bybit, em fevereiro. O ataque à TrustedVolumes é o quinto grande exploit desde o início de maio, depois dos ataques à Drift, de 285…
TheBlock