Il market maker di 1Inch Trusted Volumes è stato hackerato per 4,5 milioni di dollari

Trusted Volumes, uno dei market maker di 1Inch, è stato hackerato per 4,5 milioni di dollari. L'aggregatore DEX di 1Inch ha immediatamente notato i deflussi sospetti, che hanno interessato solo una parte limitata del protocollo e non hanno portato al blocco delle negoziazioni o al congelamento delle transazioni per la maggior parte dei trader. 

Il market maker di 1Inch, Trusted Volumes, è stato colpito da un attacco informatico che ha sottratto 4,5 milioni di dollari. Anche diversi market maker più piccoli sono stati colpiti, per un totale di 0,5 milioni di dollari. 

È stato difficile stimare la perdita esatta, poiché alcuni fondi erano sotto forma di WETH, il cui prezzo è soggetto a fluttuazioni. SlowMist stima la perdita totale a circa 5 milioni di dollari, di cui 2,4 milioni in USDC. Un totale di 2 milioni di USDC sono stati trasferiti in un'unica transazione, suddivisi in due indirizzi.

Secondo la nostra analisi, questo incidentedent comportato una perdita di 2,4 milioni di $USDC e 1276 $WETH, per un totale di oltre 5 milioni di $.

— SlowMist (@SlowMist_Team) 7 marzo 2025

SlowMist ha individuato il ditraccontratto 1Inch , che è stato il fulcro dell'operazione, prosciugando i fondi di diversi market maker. 

L'hacker ha prosciugato i fondi del market maker attraverso il resolver smarttrac

L'analista on-chain Chaofan Shou ha individuato il problema con lo smart contract resolvertracche interagiva con i bot di trading dei market maker. Dopo un errore dell'hacker, gli esploratori white hat hanno cercato di recuperare parte dei fondi, che l'hacker ha erroneamente rispedito a 1Inch.

La vulnerabilità era presente solo nell'implementazione Fusion V1 del contratto, ormai obsoletatracAttualmente, 1Inch utilizza una versione rivista , ma ha mantenuto il resolver legacy per alcuni dei partecipanti all'ecosistema. Dopo l'evento, l'azienda ha attirato l'attenzione sul suo programma bug bounty, che offre una ricompensa fino a 500.000 dollari per vulnerabilità critiche.

1Inch ha osservato che tutti i market maker stanno ora utilizzando un contratto ditracaggiornato, privo della vulnerabilità. Gli investigatori on-chain hanno notato che l'attaccante ha sfruttato la possibilità di connettersi ai bot e prelevare i loro fondi invece di utilizzarli per il regolamento su 1Inch. 

L'hacker poteva falsificare le chiamate ai market maker e attaccare direttamente la loro liquidità. Le chiamate ai market maker falsificavano iltracoriginale di 1Inch e inducevano i bot di trading a inviare i loro fondi all'aggressore. 

il market maker di 1inch @trustedvolumes è stato hackerato per oltre 4,5 milioni di dollari e alcuni MM più piccoli sono stati hackerati per 0,5 milioni di dollari.

La causa principale è che 1inch chiamatracper ottenere fondi sul suo contratto ditrac. La maggior parte dei bot controllava solo msg.sender = regolamento... https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH

— Chaofan Shou (@Fried_rice) 7 marzo 2025

1Inch ha invitato tutti i market maker contracresolver ad aggiornare le loro versioni, sebbene non siano stati rilevati nuovi movimenti di fondi. L'exploit non richiede alcuna azione da parte degli utenti abituali e non ha interessato i portafogli personali.

Il recente attacco contro uno smart contract di uso comunetracche la sicurezza di Web3 è ancora un problema, anche per protocolli leader come 1Inch. La piattaforma ha ottenuto un del 94,41% da Certik ed era considerata altamente sicura fino a poco tempo fa.  

Nonostante il monitoraggio di Certik, non tutto il codice di 1Inch è stato verificato e sottoposto ad audit. Sono stati verificati in totale tre contrattitracovvero circa il 39% del codice del progetto. 1Inch in sé non è un obiettivo, poiché il protocollo ha un valore bloccato di soli 4,35 milioni di dollari . 

L'aggregatore DEX si estende su sette diverse catene, con Ethereum che rimane la più attiva. Il protocollo ha rallentato la generazione di commissioni dopo un recente picco a novembre e dicembre 2024. Successivamente, il protocollo ha continuato a generare 170.000 dollari di commissioni settimanali. Nonostante la riduzione dell'attività, 1Inch rimane un punto di riferimento per i piccoli Ethereum . Il protocollo ha mantenuto 549.000 utenti.

Il token 1Inch non è stato influenzato dall'hacking

Il token 1Inch è rimasto pressoché inalterato dalla notizia dell'attacco hacker, scambiando a circa 0,23 dollari, vicino ai minimi degli ultimi tre mesi. 1Inch tracil rallentamento generale del mercato, con una domanda limitata anche per i token legati ai protocolli più utilizzati. 

Dopo il mercato rialzista del 2021, 1Inch si è rivolta a utenti di piccole dimensioni. La maggior parte degli utenti pubblica transazioni inferiori a 1.000 dollari, mentre la dimensione media delle transazioni è diminuita per tutte le catene. 

1Inch non è più il terreno di gioco delle balene o dei primi utilizzatori, ma mantiene una base di utenti più ristretta per scambi di basso valore, a volte inferiori a 10 $.