Trusted Volumes, uno dei market maker di 1Inch, è stato hackerato per 4,5 milioni di dollari. L'aggregatore DEX di 1Inch ha immediatamente notato i deflussi sospetti, che hanno interessato solo una parte limitata del protocollo e non hanno portato al blocco delle negoziazioni o al congelamento delle transazioni per la maggior parte dei trader.
Il market maker di 1Inch, Trusted Volumes, è stato colpito da un attacco informatico che ha sottratto 4,5 milioni di dollari. Anche diversi market maker più piccoli sono stati colpiti, per un totale di 0,5 milioni di dollari.
È stato difficile stimare la perdita esatta, poiché alcuni fondi erano sotto forma di WETH, il cui prezzo è soggetto a fluttuazioni. SlowMist stima la perdita totale a circa 5 milioni di dollari, di cui 2,4 milioni in USDC. Un totale di 2 milioni di USDC sono stati trasferiti in un'unica transazione, suddivisi in due indirizzi.
Secondo la nostra analisi, questo incidente dent comportato una perdita di 2,4 milioni di $USDC e 1276 $WETH , per un totale di oltre 5 milioni di $.
— SlowMist (@SlowMist_Team) 7 marzo 2025
contratto di trac 1Inch , che è stato il fulcro dell'operazione, prosciugando i fondi di diversi market maker.
L'hacker ha prosciugato i fondi del market maker attraverso il resolver smarttrac
L'analista on-chain Chaofan Shou ha individuato il problema con lo smart contract resolver trac che interagiva con i bot di trading dei market maker. Dopo un errore dell'hacker, gli esploratori white hat hanno cercato di recuperare parte dei fondi, che l'hacker ha erroneamente rispedito a 1Inch.
La vulnerabilità era presente solo nell'implementazione Fusion V1 del contratto, ormai obsoleta trac Attualmente, 1Inch utilizza una versione rivista , ma ha mantenuto il resolver legacy per alcuni dei partecipanti all'ecosistema. Dopo l'evento, l'azienda ha attirato l'attenzione sul suo programma bug bounty , che offre una ricompensa fino a 500.000 dollari per vulnerabilità critiche.
1Inch ha osservato che tutti i market maker stanno ora utilizzando un contratto ditracaggiornato, privo della vulnerabilità. Gli investigatori on-chain hanno notato che l'attaccante ha sfruttato la possibilità di connettersi ai bot e prelevare i loro fondi invece di utilizzarli per il regolamento su 1Inch.
L'hacker poteva falsificare le chiamate ai market maker e attaccare direttamente la loro liquidità. Le chiamate ai market maker falsificavano iltracoriginale di 1Inch e inducevano i bot di trading a inviare i loro fondi all'aggressore.
il market maker di 1inch @trustedvolumes è stato hackerato per oltre 4,5 milioni di dollari e alcuni MM più piccoli sono stati hackerati per 0,5 milioni di dollari.
La causa principale è che 1inch chiama trac per ottenere fondi per il suo contratto di regolamento trac La maggior parte dei bot ha controllato solo msg.sender = settlement… https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH
— Friedrice (svm/acc) (@shoucccc) 7 marzo 2025
1Inch ha invitato tutti i market maker contracresolver ad aggiornare le loro versioni, sebbene non siano stati rilevati nuovi movimenti di fondi. L'exploit non richiede alcuna azione da parte degli utenti abituali e non ha interessato i portafogli personali.
Il recente attacco contro uno smart contract di uso comune trac che la sicurezza di Web3 è ancora un problema, anche per protocolli leader come 1Inch. La piattaforma ha ottenuto un del 94,41% da Certik ed era considerata altamente sicura fino a poco tempo fa.
Nonostante il monitoraggio di Certik, non tutto il codice di 1Inch è stato verificato e sottoposto a audit. Sono stati verificati in totale tre contratti trac pari a circa il 39% del codice del progetto. 1Inch in sé non è un obiettivo, poiché il protocollo ha un valore bloccato di soli 4,35 milioni di dollari .
L'aggregatore DEX si estende su sette diverse catene, con Ethereum che rimane la più attiva. Il protocollo ha rallentato la generazione di commissioni dopo un recente picco a novembre e dicembre 2024. Successivamente, il protocollo ha continuato a generare 170.000 dollari di commissioni settimanali. Nonostante la riduzione dell'attività, 1Inch rimane un punto di riferimento per i piccoli Ethereum . Il protocollo ha mantenuto 549.000 utenti .
Il token 1Inch non è stato influenzato dall'hacking
Il token 1Inch è rimasto pressoché inalterato dalla notizia dell'attacco hacker, scambiando a circa 0,23 dollari, vicino ai minimi degli ultimi tre mesi. 1Inch tracil rallentamento generale del mercato, con una domanda limitata anche per i token legati ai protocolli più utilizzati.
Dopo il mercato rialzista del 2021, 1Inch si è rivolta a utenti di piccole dimensioni. La maggior parte degli utenti pubblica transazioni inferiori a 1.000 dollari, mentre la dimensione media delle transazioni è diminuita per tutte le catene.
1Inch non è più il terreno di gioco delle balene o dei primi utilizzatori, ma mantiene una base di utenti più ristretta per scambi di basso valore , a volte inferiori a 10 $.
