Exploit da TrustedVolumes drena US$ 6,7 milhões de um provedor de liquidez da 1inch

TrustedVolumes, um provedor de liquidez e market maker para o agregador de exchange descentralizada 1inch, está sofrendo um ataque contínuo que já drenou aproximadamente US$ 6,7 milhões em fundos, segundo reportagens da empresa de segurança blockchain Blockaid e do próprio TrustedVolumes. A Blockaid inicialmente sinalizou a exploração na quarta-feira como afetando o contrato de resolver do TrustedVolumes na blockchain Ethereum, com a empresa fornecendo um número atualizado de perdas na quinta-feira e indicando que está considerando um programa de bug bounty para lidar com a situação. A 1inch confirmou que seus sistemas, infraestrutura e fundos dos usuários permanecem intactos.

Relatório Inicial da Blockaid

A Blockaid informou que o montante inicial drenado foi de aproximadamente US$ 5,87 milhões, composto por 1.291,16 WETH, 206.282 USDT, 16,939 WBTC e 1.268.771 USDC. Segundo a Blockaid, o atacante é a mesma entidade responsável pela exploração de março de 2025 do 1inch Fusion V1, que drenou cerca de US$ 5 milhões. No entanto, a Blockaid observou que o ataque em andamento envolve uma vulnerabilidade diferente, relacionada a um custom RFQ (request for quote) swap proxy controlado pelo TrustedVolumes.

Resposta do TrustedVolumes

O TrustedVolumes confirmou a exploração na quinta-feira, atualizando o valor das perdas para aproximadamente US$ 6,7 milhões. A empresa indicou que considerará um bug bounty como uma possível solução para resolver a situação.

Declaração da 1inch

A 1inch divulgou uma declaração esclarecendo que não há impacto em seus sistemas, infraestrutura ou fundos dos usuários. “O TrustedVolumes opera de forma independente como provedor de liquidez, usado por múltiplos protocolos na indústria, e não é exclusivo da 1inch”, disse a nota. “Continuamos a monitorar a situação e estamos ajudando ativamente, quando apropriado, junto às partes de segurança relevantes.”

Contexto Mais Amplo de Segurança em DeFi

Ataques a participantes do DeFi aumentaram significativamente nas últimas semanas. De acordo com dados da DefiLlama, um total de US$ 635,2 milhões foi roubado em hacks e explorações em abril de 2025, registrando a maior soma mensal desde fevereiro de 2025, quando hackers roubaram quase US$ 1,5 bilhão da Bybit. Entre as principais explorações recentes estão um ataque de engenharia social de US$ 285 milhões na Drift e uma exploração de US$ 293 milhões na Kelp DAO. O ataque ao TrustedVolumes marca a quinta grande exploração desde o início de maio.