TrustedVolumes confirme un vol de 6,7 M$, 1inch épargné
Des fonds volés ont été répartis sur trois portefeuilles Ethereum alors que des entreprises de sécurité décrivaient un chemin d'abus de signataire autorisé.
TrustedVolumes, un résolveur indépendant et un teneur de marché utilisé par 1inch Fusion, a confirmé avoir été exploité le 7 mai et a estimé qu'environ 6,7 millions de dollars avaient été volés. 1inch a publiquement rejeté les allégations d'une violation directe, affirmant que ses protocoles, son infrastructure et les fonds des utilisateurs n'avaient pas été impactés.
Points clés
- TrustedVolumes a confirmé une exploitation et a estimé qu'environ 6,7 millions de dollars avaient été volés, répartis sur troisadressesEthereum.
- Le solde volé a été réparti sur trois portefeuilles, deux contenant environ 3 millions de dollars chacun et un troisième contenant environ 700 000 dollars.
- 1inch a déclaré que les rapports liant directement l'incident à 1inch étaient « trompeurs » et a affirmé qu'il n'y avait « aucun impact sur les systèmes, l'infrastructure ou les fonds des utilisateurs de 1inch. »
- Les premières estimations judiciaires différaient, Blockaid ayant initialement évalué lesactifsextraits à environ 5,87 millions de dollars, y compris WETH, USDT, WBTC et USDC.
TrustedVolumes confirme un exploit de 6,7 millions de dollars alors que 1inch rejette le lien direct.
TrustedVolumes a déclaré avoir été exploité et qu'environ 6,7 millions de dollars de fonds volés sont détenus sur trois adresses Ethereum. La société a décrit les fonds volés comme étant dans trois portefeuilles et a signalé qu'elle cherche un résultat négocié, affirmant qu'elle est ouverte à une "communication constructive" concernant une prime de bug et une "résolution mutuellement acceptable".
1inch a rapidement agi pour réduire le rayon d'explosion. L'agrégateur a déclaré que les rapports liant l'exploitation directement à 1inch étaient « trompeurs », ajoutant que « ni 1inch ni aucun des protocoles 1inch ne sont impliqués » et qu'il n'y avait « aucun impact sur les systèmes, l'infrastructure ou les fonds des utilisateurs de 1inch.
» Le co-fondateur Sergej Kunz a présenté TrustedVolumes comme une contrepartie d'exécution externe, en disant : « Bien qu'il soit vrai que 1inch utilise TrustedVolumes comme résolveur, nous sommes l'un des nombreux. »
Pour les traders, cette distinction est importante. Les faits disponibles jusqu'à présent indiquent un risque d'infrastructure d'exécution tierce à l'intérieur de la pile d'un résolveur, et non un compromis des contrats principaux de 1inch ou de la garde des fonds des utilisateurs.
Où sont allés les fonds : répartition en trois portefeuilles et estimations de pertes concurrentes
TrustedVolumes a déclaré que les fonds volés étaient répartis sur trois portefeuilles : deux adresses contenant environ 3 millions de dollars chacune et un troisième contenant environ 700 000 dollars. Cette comptabilité au niveau des portefeuilles est le marqueur le plus clair à court terme pour déterminer si l'attaquant tente de blanchir, de transférer ou de négocier.
Les estimations de pertes ne sont pas encore entièrement réconciliées. Le système de détection d'exploit de Blockaid a signalé un exploit Ethereum en cours ciblant TrustedVolumes et a initialement estimé environ 5,87 millions de dollars extraits, y compris Wrapped Ether (WETH), USDT, Wrapped.Bitcoin(WBTC) et USDC. TrustedVolumes a ensuite estimé le chiffre à environ 6,7 millions de dollars.
En termes de bureau, la bonne façon de traiter le nombre tôt est comme une plage jusqu'à ce que l'attribution on-chain et les répartitions d'actifs convergent.
Comment l'attaque a fonctionné : abus de signataire d'ordre autorisé et infrastructure d'échange personnalisée
Deux fils techniques ont décrit le chemin probable. CertiK a déclaré que l'attaquant s'était enregistré en tant que signataire d'ordre autorisé via une fonction publique, puis avait utilisé cette autorisation pour exécuter des ordres qui transféraient des fonds des cibles. Blockaid a déclaré que l'attaque impliquait une infrastructure d'échange personnalisée contrôlée par TrustedVolumes.
Le mode de défaillance commun est la permission. Si un attaquant peut accéder à une liste d'autorisation ou à un ensemble de signataires dans des contrats d'exécution de résolveur, il peut siphonner de la valeur même lorsque les systèmes propres de l'agrégateur restent intacts.
C'est le risque structurel dans l'exécution basée sur un résolveur : des tiers peuvent exécuter des contrats sur mesure et des infrastructures opérationnelles qui se situent à côté, mais en dehors, de la surface du protocole central de l'agrégateur.
Blockaid et le chercheur en sécurité Vladimir Sobolev (Notes de l'Officier) ont également déclaré que le même opérateur responsable de l'exploitation du résolveur 1inch Fusion V1 en mars 2025 a mené la dernière attaque, tandis que Blockaid a déclaré que la vulnérabilité diffère cette fois. La revendication de l'opérateur récurrent augmente les chances que l'infrastructure de résolveur reste une classe cible, même si le bug spécifique change.
Signaux à surveiller pour l'exploitation du résolveur TrustedVolumes. 1inch nie
Le premier signal est de savoir si des fonds sortent des trois portefeuilles cités par TrustedVolumes, ce qui indiquerait des tentatives de blanchiment ou de pontage, ou potentiellement un calendrier de négociation si les transferts s'arrêtent.
Le deuxième est la clarté de la remédiation de TrustedVolumes. Toute mesure concrète sur les contrôles de contrat, la surveillance ou les changements dans sa configuration de résolveur comptera plus que des assurances génériques, surtout après son appel à une "communication constructive" et à une "résolution mutuellement acceptable".
Le troisième est la réconciliation du montant extrait. Des mises à jour qui expliquent l'écart entre l'estimation de Blockaid d'environ 5,87 millions de dollars et le chiffre d'environ 6,7 millions de dollars de TrustedVolumes, y compris une répartition finale des actifs, resserreront le comptage des risques.
Enfin, les traders devraient surveiller les changements dans les règles de participation des résolveurs. Toute déclaration de 1inch ou de partenaires de sécurité sur les listes d'autorisation, les contrôles de signataires d'ordre ou les normes d'intégration des résolveurs serait le premier signe que cet incident modifie la politique d'exécution plutôt que de simplement générer des gros titres.
Le véritable signal commercial est le risque de contrepartie du résolveur et les revendications d'opérateur récurrent.
Je considère cela comme un événement de contrepartie de résolveur, et non comme une violation du protocole 1inch, car 1inch a explicitement déclaré qu'il n'y avait "aucun impact sur les systèmes, l'infrastructure ou les fonds des utilisateurs de 1inch" et Kunz a souligné que TrustedVolumes fonctionne de manière indépendante. Cela n'élimine pas le risque de marché.
Cela le déplace dans la couche d'exécution où la liquidité, le routage et la réputation peuvent encore en pâtir lorsque les gros titres compressent la nuance.
Le seuil qui compte est de savoir si les opérateurs de résolveur et les agrégateurs réagissent avec des contrôles de signataire et de liste autorisée plus stricts après un deuxième incident lié au même opérateur présumé.
Si ce renforcement se manifeste dans les règles de participation et les normes de surveillance, la configuration commence à sembler structurelle plutôt que guidée par le récit, et cela a des implications pratiques car cela change qui peut intermédié de manière sécurisée le flux et à quel coût.
