Ранние сообщения описывали инцидент как эксплойт 1inch, однако протокол уточнил, что он не был взломан и средства пользователей не пострадали.Ранние сообщения описывали инцидент как эксплойт 1inch, однако протокол уточнил, что он не был взломан и средства пользователей не пострадали.

Хакер вывел 5,9 млн $ из провайдера ликвидности Ethereum TrustedVolumes

2026/05/10 01:49
3м. чтение
Для обратной связи или замечаний по поводу данного контента, свяжитесь с нами по адресу [email protected]

TrustedVolumes, Провайдер Ликвидности на блокчейн Ethereum, в четверг потерял около 5,9 млн $ в результате взлома.

Злоумышленнику удалось воспользоваться уязвимостью в пользовательской торговой системе платформы и вывести средства, включая ETH, WBTC, а также стейблкоины USDT и USDC.

Что произошло

По данным блокчейн-компании по безопасности Blockaid, которая зафиксировала эксплойт в момент его совершения, похищенные средства включали 1 291 WETH, около 16,9 WBTC, примерно 206 000 USDT и чуть менее 1,27 млн USDC.

Атака была осуществлена путём злоупотребления конструктивным недостатком в пользовательской системе исполнения ордеров TrustedVolumes, известной как прокси Request for Quote (RFQ).

GoPlus Security опубликовала разбор ситуации, показывающий, что злоумышленник зарегистрировал себя в качестве авторизованного «подписанта ордеров» с помощью функции «registerAllowedOrderSigner()», которая была общедоступна.

Функция позволяет любому пользователю назначить собственный адрес действительным подписантом для контролируемых им сделок, и хотя обычно это было бы достаточно безобидно, функция расчётов имела отдельную проблему: она проверяла авторизацию по одному адресу, тогда как фактически извлекала средства с другого.

Как подробно описано в техническом отчёте, опубликованном исследователем безопасности Defi Nerd, злоумышленник воспользовался этой брешью для выполнения четырёх транзакций по выводу средств против контракта-резолвера TrustedVolumes, который ранее предоставил прокси разрешение на перемещение своих токенов.

По их данным, каждый раз прокси извлекал активы из резолвера и отправлял обратно лишь одну единицу USDC. Затем злоумышленник конвертировал похищенный WETH обратно в ETH и перевёл всё на свой кошелёк.

TrustedVolumes подтвердил эксплойт и публично опубликовал три адреса кошельков с похищенными средствами, попросив хакера выйти на связь по поводу «bug bounty и взаимоприемлемого урегулирования».

1inch дистанцируется от ситуации на фоне продолжающихся взломов DeFi

Поскольку TrustedVolumes функционирует как Провайдер Ликвидности и маркет-мейкер на 1inch, некоторые ранние сообщения представляли инцидент как эксплойт 1inch.

Однако это неточно: и 1inch, и Blockaid выпустили заявления, уточняющие, что сам протокол не был скомпрометирован и средства пользователей на 1inch не пострадали. TrustedVolumes работает независимо на нескольких платформах, а не исключительно на 1inch.

Атака произошла в особенно сложный период для экосистемы DeFi, поскольку последовала за катастрофическим апрелем, когда из различных проектов было похищено криптовалюты на сумму более 650 млн $.

KelpDAO и Drift Protocol пострадали больше всего: у них было изъято 292 млн $ и 285,2 млн $ соответственно.

Таким образом, при ущербе в 5,9 млн $ этот последний эксплойт меньше по масштабу. Однако техническая изощрённость подхода — развёртывание вспомогательного контракта, злоупотребление самостоятельной регистрацией подписантов и эксплуатация несоответствия между мейкером и источником финансирования в рамках одной транзакции — выделяет его в отдельную категорию по сравнению с простой ошибкой или неверной конфигурацией.

The post Hacker Drains $5.9M From Ethereum Liquidity Provider TrustedVolumes appeared first on CryptoPotato.

Возможности рынка
Логотип Notcoin
Notcoin Курс (NOT)
$0.0003834
$0.0003834$0.0003834
+3.25%
USD
График цены Notcoin (NOT) в реальном времени

Комбо Кубка мира: Цель на 200x

Комбо Кубка мира: Цель на 200xКомбо Кубка мира: Цель на 200x

До 20 комбо в матчах Кубка мира за 1 ордер

Отказ от ответственности: Статьи, размещенные на этом веб-сайте, взяты из общедоступных источников и предоставляются исключительно в информационных целях. Они не обязательно отражают точку зрения MEXC. Все права принадлежат первоисточникам. Если вы считаете, что какой-либо контент нарушает права третьих лиц, пожалуйста, обратитесь по адресу [email protected] для его удаления. MEXC не дает никаких гарантий в отношении точности, полноты или своевременности контента и не несет ответственности за любые действия, предпринятые на основе предоставленной информации. Контент не является финансовой, юридической или иной профессиональной консультацией и не должен рассматриваться как рекомендация или одобрение со стороны MEXC.

Вам также может быть интересно

Мировые океаны побили июньский рекорд температуры

Мировые океаны побили июньский рекорд температуры

Среднее глобальное значение температуры поверхности моря в июне составило 20,98°C, побив предыдущие рекорды, установленные в 2023 и 2024 годах.
Поделиться
Free Malaysia Today2026/07/01 10:35
Новости AutoriteitFM: выпущено предупреждение против нескольких компаний — и что это означает

Новости AutoriteitFM: выпущено предупреждение против нескольких компаний — и что это означает

AutoriteitFM предупреждает потребителей о конкретных компаниях, причастных к возможному мошенничеству. Это предупреждение подчёркивает актуальные опасения на рынке. The post AutoriteitFM
Поделиться
Coinfomania2026/07/01 10:38
Израиль тестирует модернизированную систему «Железный купол» с лазерным наведением после жёстких «уроков» войны с Ираном

Израиль тестирует модернизированную систему «Железный купол» с лазерным наведением после жёстких «уроков» войны с Ираном

Израиль тестирует модернизированную систему «Железный купол» с лазерным наведением после жёстких «уроков» войны с Ираном Знаменитая израильская система противовоздушной обороны «Железный купол» претерпела значительные
Поделиться
ZeroHedge2026/07/01 11:00