TrustedVolumes のエクスプロイトにより、1inch の流動性提供者から 6.7M ドルが流出

TrustedVolumesは、分散型取引所アグリゲーターの1inch向けに流動性プロバイダーおよびマーケットメイカーを務めていますが、進行中の攻撃により約$6.7 million相当の資金が流出しているとして、ブロックチェーン・セキュリティ企業BlockaidとTrustedVolumes自身の報告で明らかになりました。Blockaidは当初、水曜日に、この攻撃がイーサリアムブロックチェーン上でTrustedVolumesのリゾルバー・コントラクトに影響していると指摘しており、同社は木曜日に更新された損失額を提示し、状況に対処するためのバグバウンティを検討していることを示しました。1inchは、自社のシステム、インフラ、ユーザー資金に影響はないと確認しています。

Blockaidの初期報告

Blockaidによると、当初流出した金額は約$5.87 millionで、内訳は1,291.16 WETH、206,282 USDT、16.939 WBTC、そして1,268,771 USDCでした。Blockaidは、攻撃者は2025年3月の1inch Fusion V1の悪用（約$5 millionが流出）を引き起こしたのと同一の主体だとしています。とはいえBlockaidは、進行中の攻撃はTrustedVolumesが管理するカスタムRFQ（見積もり依頼）スワップ・プロキシに関する別の脆弱性を伴っていると指摘しました。

TrustedVolumesの対応

TrustedVolumesは木曜日に、このエクスプロイトを確認し、損失額を約$6.7 millionへと更新しました。同社は、状況への対処策としてバグバウンティを検討する意向を示しました。

1inchの声明

1inchは、システム、インフラ、ユーザー資金に影響はないことを明確にする声明を発表しました。「TrustedVolumesは、流動性プロバイダーとして独立して運用されており、業界内の複数のプロトコルで利用されているため、1inchのみに独占されているわけではありません」と声明にはあります。「当社は引き続き状況を監視しており、適切な場合には関連するセキュリティ当事者とともに積極的に支援しています。」

より広いDeFiセキュリティの背景

近年の数週間で、DeFi参加者を狙った攻撃は大幅に増加しています。DefiLlamaのデータによれば、2025年4月にハッキングおよびエクスプロイトによって盗まれた総額は$635.2 millionで、2025年2月以降で最大の月間合計となりました。2025年2月には、ハッカーがBybitからほぼ$1.5 billionを盗んでいました。最近の主な大規模エクスプロイトには、Driftへの$285 millionのソーシャルエンジニアリング攻撃や、Kelp DAOへの$293 millionのエクスプロイトが含まれます。TrustedVolumesへの攻撃は、5月初め以降で5件目の主要なエクスプロイトとなります。