O market maker TrustedVolumes da 1inch foi atacado, com perdas de US$ 5,87 milhões

A empresa de segurança de blockchain Blockaid publicou no X, em 6 de maio, no horário do leste dos EUA, que o provedor de liquidez e market maker TrustedVolumes está sofrendo um ataque contínuo, sendo que a empresa atua como agregadora de liquidez do agregador de exchanges descentralizadas 1inch. Até o momento da divulgação da declaração da Blockaid, as perdas já chegam a cerca de US$ 5,87 milhões.

Detalhes técnicos do ataque: falha no contrato de proxy de RFQ swap

De acordo com a declaração da Blockaid, a falha explorada neste ataque está em um contrato de proxy de swap de RFQ (Request for Quote, solicitação de cotação) personalizado que é controlado diretamente pelo próprio TrustedVolumes, e difere dos componentes técnicos envolvidos no incidente do 1inch Fusion V1 em 1º de março de 2025.

A Blockaid divulgou, até o momento da publicação da declaração, o detalhamento dos ativos roubados:

WETH (Wrapped Ether): 1.291,16 unidades

USDT: 206.282 unidades

WBTC (Wrapped Bitcoin): 16,939 unidades

USDC: 1.268.771 unidades

Instituições envolvidas: 1inch, TrustedVolumes e Blockaid

Segundo a Blockaid, o ataque ao 1inch Fusion V1 em março de 2025 e este incidente foram realizados pelo mesmo agressor; as vulnerabilidades técnicas exploradas nas duas operações são diferentes, e o contrato de proxy de swap de RFQ do TrustedVolumes afetado nesta ocasião é um componente independente do caso do Fusion V1.

Dados-chave: contexto de incidentes de segurança em DeFi

Com base em dados do agregador de dados on-chain DefiLlama, os ataques de hackers e explorações de vulnerabilidades em abril de 2026 causaram perdas de US$ 635,2 milhões, configurando o maior recorde de perdas mensais desde fevereiro de 2025 (quando a Bybit sofreu perdas de quase US$ 1,5 bilhão).

De acordo com a reportagem do The Block, o ataque ao TrustedVolumes foi o quinto grande incidente de exploração de vulnerabilidade desde o início de maio de 2026. Entre os principais acontecimentos no mesmo período estão: um ataque de engenharia social de US$ 285 milhões sofrido pela Drift e um ataque de exploração de vulnerabilidade de US$ 293 milhões sofrido pela Kelp DAO.

Perguntas frequentes

Quando ocorreu este ataque? Qual foi o tamanho das perdas?

De acordo com a declaração publicada no X pela empresa de segurança de blockchain Blockaid em 6 de maio de 2026, no horário do leste dos EUA, o TrustedVolumes sofreu um ataque contínuo e, até o momento da divulgação da declaração, as perdas já somam cerca de US$ 5,87 milhões. Os ativos roubados incluem WETH, USDT, WBTC e USDC.

Que tipo de vulnerabilidade técnica foi explorada pelo atacante?

De acordo com a declaração da Blockaid, o ataque explorou uma vulnerabilidade no contrato de proxy de swap de RFQ personalizado, controlado diretamente pelo TrustedVolumes, implantado na blockchain Ethereum, e que corresponde a um componente técnico diferente do caso de vulnerabilidade envolvido no incidente do 1inch Fusion V1 em março de 2025.

Este ataque tem relação com o caso do 1inch em março de 2025?

De acordo com a Blockaid, os dois ataques foram realizados pela mesma entidade. Em março de 2025, o mesmo agressor atacou o contrato do 1inch Fusion V1, causando perdas de cerca de US$ 5 milhões; desta vez, foi um segundo ataque do mesmo agressor contra componentes de contrato diferentes.