TrustedVolumes 공격 개요
TrustedVolumes는 1inch와 연결된 유동성 제공자이자 시장 조성자로, 블록체인 보안 회사 Blockaid에 따르면 약 587만 달러가 이더리움 리졸버 계약에서 유출되는 공격을 당했습니다. 도난당한 자산에는 1,291.16 WETH, 206,282 USDT, 16.939 WBTC, 1,268,771 USDC가 포함되었습니다.
공격의 세부 사항
이 공격은 TrustedVolumes가 제어하는 맞춤형 RFQ 스왑 프록시를 대상으로 하였으며, 표준 사용자 스왑 경로는 아니었습니다. Blockaid는 공격자가 2025년 3월 1inch Fusion V1 공격과 관련된 동일한 운영자라고 밝혔습니다. 그러나 이번 사건은 TrustedVolumes의 맞춤형 RFQ 스왑 프록시와 관련된 다른 취약점을 사용했다고 전했습니다.
“2025년 3월 사건은 1inch Fusion V1을 사용하는 제3자 리졸버에도 영향을 미쳤습니다.”
BlockSec는 이후 이 공격이 안전하지 않은 calldata 처리 및 리졸버 신뢰 가정을 악용하여 500만 달러 이상의 손실을 초래했다고 밝혔습니다. Binance News에 인용된 CertiK Alert는 공격자가 공용 함수를 사용하여 AllowedOrderSigner로 등록했다고 전했습니다. 이후 공격자는 피해자 주소에서 사전 승인된 자금을 이동하는 주문을 실행했습니다.
사용자 권장 사항 및 DeFi 보안
CertiK는 사용자에게 영향을 받은 계약과 관련된 승인을 철회할 것을 권장했습니다. TrustedVolumes 공격은 DeFi 보안에 어려운 4월 이후 발생했습니다. Crypto.news는 DefiLlama 데이터를 기반으로 4월 첫 18일 동안 프로토콜이 6억 6백만 달러 이상의 손실을 입었다고 보도했습니다. 이 총액은 두 건의 대형 사건에 의해 주도되었습니다.
“Drift Protocol은 약 2억 8천5백만 달러를 잃었고, Kelp DAO는 약 2억 9천2백만 달러를 잃었습니다.”
Crypto.news는 이 두 공격이 당시 추적된 4월 손실의 대부분을 차지했다고 전했습니다. 별도의 업데이트에서 Crypto.news는 Wasabi Protocol이 이더리움, Base, Berachain 및 Blast에서 500만 달러 이상의 손실을 입었다고 보도했습니다. 보안 회사들은 손상된 관리자 키가 공격자에게 계약을 업그레이드하고 자금을 유출할 수 있게 했다고 밝혔습니다.
결론
TrustedVolumes 사건은 리졸버 계약, 승인 시스템 및 맞춤형 시장 조성 도구에 다시 주목하게 합니다. 이러한 시스템은 종종 자금을 이동하고 거래를 신속하게 완료하기 위해 특별한 권한이 필요합니다. 이러한 구조는 계약이 취약해진 후에도 권한이 활성 상태로 남아 있을 때 위험을 초래할 수 있습니다. 또한 공격자가 신뢰할 수 있는 서명자로 행동하거나 승인된 계약을 통해 자금을 이동할 수 있는 방법을 찾을 경우 손실이 더 커질 수 있습니다. 이번 사건은 모든 1inch 사용자가 직접 영향을 받았음을 보여주지 않습니다. 이용 가능한 보고서는 TrustedVolumes의 자체 리졸버 및 RFQ 프록시 설정이 영향을 받은 영역임을 지적하고 있습니다.
