Постачальник ліквідності TrustedVolumes став мішенню атаки в 1inch, збитки сягнули 5,87 млн доларів

Компанія з кібербезпеки для блокчейну Blockaid 6 травня о 5:00 за східним часом США опублікувала в X повідомлення про те, що децентралізований біржовий агрегатор 1inch зазнає атак з боку своїх постачальників ліквідності та маркетмейкерів TrustedVolumes. Як зазначає Blockaid, станом на час публікації заяви збитки вже сягнули приблизно 5,87 млн доларів США.

Технічні деталі атаки: вразливість у контракті RFQ-обмінного проксі

Згідно із заявою Blockaid, вразливість, яку використали в цій атаці, міститься в унікальному контракті RFQ (Request for Quote, запит котирування) обмінного проксі, що перебуває під власним контролем TrustedVolumes, і вона відрізняється від технічних компонентів, задіяних у випадку 1inch Fusion V1 1 березня 2025 року.

Blockaid розкрив перелік викрадених активів станом на час оприлюднення заяви:

WETH (Wrapped Ether): 1 291,16 монет

USDT: 206 282 монет

WBTC (Wrapped Bitcoin): 16,939 монет

USDC: 1 268 771 монет

Задіяні інституції: 1inch, TrustedVolumes та Blockaid

Відповідно до заяви Blockaid, атака на 1inch Fusion V1 у березні 2025 року та цей інцидент здійснилися одним і тим самим атакувальником; технічні вразливості, що використовувалися в обох атаках, різняться, а контракт TrustedVolumes з RFQ-обмінним проксі, який постраждав цього разу, належить до незалежного компонента.

Ключові дані: передісторія безпекових інцидентів у DeFi

За підрахунками платформи ончейн-даних DefiLlama, хакерські атаки та експлойти в квітні 2026 року призвели до збитків у розмірі 6,352 млрд доларів США, що є найвищим зафіксованим показником місячних втрат з лютого 2025 року (коли Bybit зазнав збитків майже на 1,5 млрд доларів США).

Як повідомляє The Block, атака на TrustedVolumes є п’ятим великим випадком використання вразливостей, що стався на початку травня 2026 року. Серед подій того ж періоду: Drift зазнав атаки з використанням соціальної інженерії на 285 млн доларів США, а Kelp DAO — експлойт на 293 млн доларів США.

Поширені запитання

Коли сталася ця атака? Яким був розмір збитків?

Згідно із заявою, опублікованою компанією з кібербезпеки для блокчейну Blockaid у X 6 травня 2026 року о 5:00 за східним часом США, TrustedVolumes зазнав безперервної атаки; станом на час публікації заяви збитки вже сягнули приблизно 5,87 млн доларів США. Викрадені активи включали WETH, USDT, WBTC та USDC.

Яку технічну вразливість використав атакувальник?

Згідно із заявою Blockaid, атака використала вразливість у контракті RFQ (запит котирування) обмінного проксі, який TrustedVolumes контролює самостійно. Контракт розгорнули в блокчейні Ethereum, і він належить до іншого технічного компонента, ніж вразливість, задіяна в інциденті 1inch Fusion V1 1 березня 2025 року.

Чи пов’язана ця атака з подіями 1inch у березні 2025 року?

Згідно із заявою Blockaid, дві атаки здійснила одна й та сама сутність. У березні 2025 року атакувальник атакував контракт 1inch Fusion V1, спричинивши втрати приблизно на 5 млн доларів США; цього разу це була друга атака того самого атакувальника на інші компоненти контракту.