TrustedVolumesの流出事件
TrustedVolumesは、1inchに関連する流動性プロバイダーおよびマーケットメイカーであり、ブロックチェーンセキュリティ企業Blockaidによると、約587万ドルがEthereumリゾルバコントラクトから流出するエクスプロイトに襲われました。盗まれた資産には、1,291.16 WETH、206,282 USDT、16.939 WBTC、1,268,771 USDCが含まれています。
攻撃の詳細
この攻撃は、標準的なユーザーのスワップルートではなく、TrustedVolumesが管理するカスタムRFQスワッププロキシに影響を与えました。Blockaidは、攻撃者が2025年3月の1inch Fusion V1エクスプロイトに関連する同じオペレーターであると述べましたが、最新のケースでは、TrustedVolumesのカスタムRFQスワッププロキシに関連する異なる脆弱性が利用されたとしています。
「2025年3月の事件は、1inch Fusion V1を使用するサードパーティのリゾルバにも影響を与えました。」
BlockSecは後に、このエクスプロイトが不安全なコールデータ処理とリゾルバの信頼仮定を悪用した結果、500万ドル以上の損失を引き起こしたと報告しました。Binance Newsが引用したCertiK Alertによると、攻撃者は公開関数を使用してAllowedOrderSignerとして登録し、その後、被害者アドレスから事前承認された資金を移動させる注文を実行しました。
ユーザーへの影響とアドバイス
CertiKは、影響を受けたコントラクトに関連する承認を取り消すようユーザーにアドバイスしています。TrustedVolumesへの攻撃は、DeFiセキュリティにとって厳しい4月の後に発生しました。Crypto.newsは、DefiLlamaのデータに基づき、4月の最初の18日間だけでプロトコルが6億6060万ドル以上を失ったと報じています。
他のエクスプロイトとその影響
その合計は、2つの大きなケースによって主導されました。Drift Protocolは約2億8500万ドルを失い、Kelp DAOは約2億9200万ドルを失いました。Crypto.newsは、これら2つのエクスプロイトが当時追跡された4月の損失の大部分を占めていると述べています。
別の更新で、Crypto.newsはWasabi ProtocolがEthereum、Base、Berachain、Blastで500万ドル以上を失ったと報告しました。セキュリティ企業は、管理者キーが侵害され、攻撃者がコントラクトをアップグレードして資金を流出させることを可能にしたと述べています。
リゾルバコントラクトのリスク
TrustedVolumesのケースは、リゾルバコントラクト、承認システム、およびカスタムマーケットメイキングツールに再び注目を集めています。これらのシステムは、資金を移動させ、迅速に取引を完了させるために特別な権限を必要とすることがよくあります。この構造は、コントラクトが脆弱になった後も権限が有効なままであるときにリスクを生じさせる可能性があります。
また、攻撃者が信頼された署名者として行動したり、承認されたコントラクトを通じて資金をルーティングする方法を見つけた場合、損失が大きくなる可能性もあります。この事件は、すべての1inchユーザーが直接影響を受けたことを示しているわけではありませんが、利用可能な報告は、影響を受けた領域としてTrustedVolumes自身のリゾルバおよびRFQプロキシの設定を指摘しています。
