TrustedVolumes khai thác làm thất thoát 6,7 triệu USD từ nhà cung cấp thanh khoản 1inch

TrustedVolumes, một nhà cung cấp thanh khoản và nhà tạo lập thị trường cho bộ tổng hợp sàn giao dịch phi tập trung 1inch, đang chịu một cuộc tấn công liên tục đã rút đi khoảng 6,7 triệu USD tiền trong quỹ, theo các báo cáo từ công ty bảo mật blockchain Blockaid và chính TrustedVolumes. Blockaid ban đầu phát hiện vụ khai thác hôm thứ Tư, cho biết nó ảnh hưởng đến hợp đồng resolver của TrustedVolumes trên blockchain Ethereum. Đến thứ Năm, công ty đưa ra con số thiệt hại được cập nhật và cho biết đang cân nhắc một chương trình bug bounty để xử lý tình huống. 1inch xác nhận rằng hệ thống, hạ tầng và tiền của người dùng của họ không bị ảnh hưởng.

Báo cáo ban đầu của Blockaid

Blockaid cho biết số tiền bị rút ban đầu vào khoảng 5,87 triệu USD, gồm 1.291,16 WETH, 206.282 USDT, 16,939 WBTC và 1.268.771 USDC. Theo Blockaid, kẻ tấn công là cùng một thực thể đứng sau vụ khai thác của 1inch Fusion V1 vào tháng 3 năm 2025, khi hệ thống bị rút khoảng 5 triệu USD. Tuy nhiên, Blockaid lưu ý rằng cuộc tấn công đang diễn ra liên quan đến một lỗ hổng khác, gắn với một custom RFQ (request for quote) swap proxy do TrustedVolumes kiểm soát.

Phản hồi của TrustedVolumes

TrustedVolumes xác nhận lỗ hổng vào hôm thứ Năm, cập nhật mức thiệt hại lên khoảng 6,7 triệu USD. Công ty cho biết họ sẽ cân nhắc một bug bounty như một giải pháp tiềm năng để giải quyết tình huống.

Tuyên bố từ 1inch

1inch phát hành một tuyên bố làm rõ rằng không có tác động nào đến hệ thống, hạ tầng hay tiền của người dùng của họ. “TrustedVolumes hoạt động độc lập như một nhà cung cấp thanh khoản, được nhiều giao thức trên khắp ngành sử dụng và không độc quyền với 1inch”, tuyên bố cho biết. “Chúng tôi tiếp tục theo dõi tình hình và đang hỗ trợ tích cực khi phù hợp cùng với các bên bảo mật liên quan.”

Bối cảnh bảo mật DeFi rộng hơn

Các cuộc tấn công nhắm vào các bên tham gia DeFi đã gia tăng đáng kể trong những tuần gần đây. Theo dữ liệu từ DefiLlama, tổng cộng 635,2 triệu USD đã bị đánh cắp trong các vụ hack và khai thác trong tháng 4 năm 2025, đánh dấu tổng số theo tháng lớn nhất kể từ tháng 2 năm 2025, khi tin tặc lấy gần 1,5 tỷ USD từ Bybit. Một số vụ khai thác lớn gần đây gồm cuộc tấn công lừa đảo xã hội trị giá 285 triệu USD nhắm vào Drift và vụ khai thác 293 triệu USD trên Kelp DAO. Cuộc tấn công vào TrustedVolumes là vụ khai thác lớn thứ năm kể từ đầu tháng 5.