Eksploitasi TrustedVolumes Mengakibatkan Kerugian $5,87 Juta
TrustedVolumes, penyedia likuiditas dan pembuat pasar yang terhubung dengan 1inch, mengalami eksploitasi yang mengakibatkan kerugian sekitar $5,87 juta dari kontrak resolver Ethereum-nya, menurut laporan dari firma keamanan blockchain, Blockaid. Aset yang dicuri mencakup:
- 1.291,16 WETH
- 206.282 USDT
- 16,939 WBTC
- 1.268.771 USDC
Serangan ini menargetkan proxy swap RFQ kustom yang dikelola oleh TrustedVolumes, bukan jalur swap pengguna standar.
Detail Serangan dan Penyerang
Blockaid mengungkapkan bahwa penyerang adalah operator yang sama yang terlibat dalam eksploitasi 1inch Fusion V1 pada Maret 2025. Namun, mereka mencatat bahwa insiden terbaru ini memanfaatkan kerentanan yang berbeda yang terkait dengan proxy swap RFQ kustom milik TrustedVolumes. Insiden pada Maret 2025 juga berdampak pada resolver pihak ketiga yang menggunakan 1inch Fusion V1.
BlockSec melaporkan bahwa eksploitasi tersebut menyebabkan kerugian lebih dari $5 juta setelah penyerang menyalahgunakan penanganan calldata yang tidak aman dan asumsi kepercayaan resolver.
Metode Penyerangan
CertiK Alert, yang dikutip oleh Binance News, menyatakan bahwa penyerang menggunakan fungsi publik untuk mendaftar sebagai AllowedOrderSigner. Dengan cara ini, penyerang dapat mengeksekusi pesanan yang memindahkan dana yang telah diotorisasi sebelumnya dari alamat korban. CertiK menyarankan pengguna untuk mencabut persetujuan yang terkait dengan kontrak yang terpengaruh.
Kerugian di Sektor DeFi
Serangan terhadap TrustedVolumes terjadi setelah bulan April yang sulit bagi keamanan DeFi. Crypto.news melaporkan bahwa protokol DeFi kehilangan lebih dari $606 juta hanya dalam 18 hari pertama bulan April, berdasarkan data dari DefiLlama. Kerugian tersebut dipimpin oleh dua insiden besar:
- Drift Protocol kehilangan sekitar $285 juta
- Kelp DAO kehilangan sekitar $292 juta
Kedua eksploitasi ini menyumbang sebagian besar kerugian yang tercatat pada bulan April.
Risiko Terkait Kontrak Resolver
Dalam pembaruan terpisah, Crypto.news melaporkan bahwa Wasabi Protocol juga mengalami kerugian lebih dari $5 juta di Ethereum, Base, Berachain, dan Blast. Firma keamanan tersebut menyatakan bahwa kunci admin yang dikompromikan memungkinkan penyerang untuk memperbarui kontrak dan menguras dana.
Kasus TrustedVolumes kembali menyoroti risiko yang terkait dengan kontrak resolver, sistem persetujuan, dan alat pembuatan pasar kustom. Sistem ini sering kali memerlukan izin khusus untuk memindahkan dana dan menyelesaikan perdagangan dengan cepat, yang dapat menciptakan risiko ketika izin tetap aktif setelah kontrak menjadi rentan.
Hal ini juga dapat menyebabkan kerugian yang lebih besar ketika penyerang menemukan cara untuk bertindak sebagai penandatangan yang tepercaya atau mengalirkan dana melalui kontrak yang disetujui. Insiden ini tidak menunjukkan bahwa semua pengguna 1inch terpengaruh secara langsung; laporan yang ada menunjukkan bahwa resolver dan pengaturan proxy RFQ milik TrustedVolumes adalah area yang terpengaruh.
