«Вознаграждение за баг» — это когда баг уже стоил вам $6,7 млн. TrustedVolumes предлагает хакеру поговорить

Платформа TrustedVolumes, через которую проходят сделки сразу нескольких децентрализованных финансовых сервисов, лишилась около $6,7 млн после атаки на один из ключевых смарт-контрактов. На фоне сообщений о взломе сервис 1inch поспешил заявить, что инфраструктура платформы не пострадала, а деньги пользователей находятся в безопасности.

Атаку зафиксировала компания Blockaid. По данным специалистов, злоумышленник вывел из контракта TrustedVolumes более 1290 WETH, свыше 206 тысяч USDT, почти 17 WBTC и около 1,26 млн USDC. Blockaid связала атаку с тем же оператором, который стоял за инцидентом с 1inch Fusion V1 в марте 2025 года. Тогда применяли другую уязвимость, а в новом случае злоумышленник атаковал специальный прокси-контракт TrustedVolumes для обмена токенов по механизму запроса котировок.

TrustedVolumes подтвердила взлом и опубликовала адреса кошельков, на которых хранятся украденные средства. На двух адресах находятся примерно по $3 млн, ещё на одном – около $700 тысяч. Представители платформы заявили, что готовы обсуждать вознаграждение за найденную ошибку и возможное урегулирование ситуации.

Руководитель направления безопасности компании Cyvers Хакан Унал сообщил, что причиной атаки стала комбинация сразу нескольких проблем в коде. Контракт позволял регистрировать доверенных подписантов без ограничений, некорректно проверял повторное использование транзакций и не проверял источник перевода средств. Благодаря этим ошибкам злоумышленник смог выдавать себя за доверенный узел и выводить активы без разрешения владельцев.

Похищенные средства, по словам Унала, прошли через криптовалютный обменник ChangeNow, который не требует обязательной проверки личности клиентов, после чего их перевели в Ethereum. Специалист добавил, что ущерб мог оказаться значительно выше, поскольку неисправный механизм защиты позволял многократно атаковать одни и те же учётные записи.

После появления публикаций о связи инцидента с 1inch представители сервиса отдельно подчеркнули, что взлом не затронул ни саму платформу, ни пользовательские средства. В компании пояснили, что TrustedVolumes работает независимо и является лишь одним из множества поставщиков ликвидности, подключённых к системе.

Сооснователь 1inch Сергей Кунц заявил, что сообщения о «взломе 1inch» вводят пользователей в заблуждение и вредят репутации платформы. Представители сервиса также сообщили, что вместе с партнёрами по безопасности продолжают изучать детали атаки и учтут выводы при дальнейшей проверке интеграций.

Инцидент стал очередным ударом по сектору децентрализованных финансов. Ранее северокорейские хакеры похитили $285 млн у Drift Protocol, а Kelp DAO потеряла $293 млн после компрометации инфраструктуры LayerZero. Позднее история с Kelp DAO дошла до федерального суда США, где платформа Aave пытается добиться разморозки $71 млн пользовательских средств в сети Arbitrum.