Trusted Volumes, l'un des teneurs de marché sur 1Inch, a été victime d'un piratage informatique d'un montant de 4,5 millions de dollars. L'agrégateur DEX 1Inch a immédiatement détecté les sorties de fonds suspectes, qui n'ont affecté qu'une partie limitée du protocole et n'ont entraîné aucun blocage des transactions ni gel des comptes pour la plupart des utilisateurs.
Trusted Volumes, teneur de marché pour 1Inch, a été victime d'un piratage informatique qui a entraîné le détournement de 4,5 millions de dollars. Plusieurs teneurs de marché de moindre importance ont également été touchés, pour un total de 0,5 million de dollars.
Il était difficile d'estimer précisément les pertes, car une partie des fonds était en WETH, dont le cours est fluctuant. SlowMist estime la perte totale à environ 5 millions de dollars, dont 2,4 millions en USDC. Un montant total de 2 millions d'USDC a été transféré en une seule transaction, réparti entre deux adresses.
Selon notre analyse, cet incident dent entraîné une perte de 2,4 millions de dollars USDC et de 1276 dollars WETH , soit un total de plus de 5 millions de dollars.
— SlowMist (@SlowMist_Team) 7 mars 2025
contrat de trac 1Inch , qui était au cœur de l'opération, et qui a permis de vider les fonds de plusieurs teneurs de marché.
Un pirate informatique a détourné les fonds d'un teneur de marché via letracintelligent du résolveur
L'analyste on-chain Chaofan Shou a identifié le problème au niveau du contrat intelligent du résolveur trac qui interagissait avec les robots de trading des teneurs de marché. Suite à une erreur du pirate, les explorateurs éthiques ont tenté de récupérer une partie des fonds que le pirate avait renvoyés par erreur à 1Inch.
La vulnérabilité était uniquement présente dans l'implémentation Fusion V1, désormais obsolète, du contrat trac Actuellement, 1Inch utilise une version révisée , mais conserve l'ancien résolveur pour certains acteurs de l'écosystème. Suite à cet incident, l'entreprise a mis en avant son programme de primes , qui offre une récompense pouvant atteindre 500 000 $ pour les vulnérabilités critiques.
1Inch a constaté que tous les teneurs de marché utilisent désormais untracde règlement mis à jour et exempt de cette vulnérabilité. Les enquêteurs de la blockchain ont observé que l'attaquant avait exploité la possibilité de se connecter à des bots et de retirer leurs fonds au lieu de les utiliser pour le règlement sur 1Inch.
Le pirate pouvait falsifier des appels aux teneurs de marché et attaquer directement leur liquidité. Ces appels usurpaient letracoriginal de 1Inch et incitaient les robots de trading à transférer leurs fonds au pirate.
Le teneur de marché 1 pouce @trustedvolumes a été piraté pour plus de 4,5 millions de dollars et quelques teneurs de marché plus petits ont été piratés pour 0,5 million de dollars hier.
La cause principale est que 1inch appelle trac pour transférer les fonds vers son contrat de règlement trac La plupart des bots se contentent de vérifier msg.sender = settlement… https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH
— Friedrice (svm/acc) (@shoucccc) 7 mars 2025
1Inch a invité tous les teneurs de marché utilisant destracde résolution à mettre à jour leurs versions, bien qu'aucun mouvement de fonds n'ait été constaté. Cette faille ne requiert aucune action de la part des utilisateurs et n'a pas affecté les portefeuilles personnels.
La récente attaque contre un contrat intelligent couramment utilisé trac que la sécurité Web3 reste un problème, même pour des protocoles de pointe comme 1Inch. La plateforme affiche un de 94,41 % auprès de Certik et était considérée comme hautement sécurisée jusqu'à récemment.
Malgré la surveillance de Certik, le code de 1Inch n'a pas été intégralement vérifié et audité. Seuls trois contrats trac soit environ 39 % du code du projet, ont été validés. 1Inch lui-même n'est pas une cible, car le protocole ne contient que 4,35 millions de dollars de fonds bloqués.
L'agrégateur DEX couvre sept blockchains différentes, Ethereum restant la plus active. Le protocole a ralenti la génération de ses frais après un pic récent en novembre et décembre 2024. Par la suite, il a généré 170 000 $ de frais hebdomadaires. Malgré cette baisse d'activité, 1Inch demeure une plateforme incontournable pour les petits Ethereum . Le protocole a conservé 549 000 utilisateurs .
Le jeton 1Inch n'a pas été affecté après le piratage
Le token 1Inch est resté globalement peu affecté par l'annonce du piratage, se négociant autour de 0,23 $, proche de son plus bas niveau des trois derniers mois. 1Inch tracla tendance générale au ralentissement du marché, avec une demande limitée même pour les tokens liés aux protocoles les plus utilisés.
Depuis le marché haussier de 2021, 1Inch s'est tourné vers les petits investisseurs. La plupart des transactions effectuées par les utilisateurs sont inférieures à 1 000 $, et la taille médiane des transactions a diminué sur toutes les plateformes.
1Inch n'est plus le terrain de jeu des baleines ou des premiers utilisateurs, mais conserve une base d'utilisateurs plus restreinte pour les échanges de faible valeur , parfois inférieurs à 10 $.
