A plataforma de mercado Trusted Volumes, da 1Inch, foi hackeada e perdeu US$ 4,5 milhões

A Trusted Volumes, uma das formadoras de mercado da 1Inch, foi alvo de um ataque hacker que resultou em um prejuízo de US$ 4,5 milhões. O agregador de DEX da 1Inch detectou imediatamente as saídas suspeitas, que afetaram apenas uma parte limitada do protocolo e não levaram ao bloqueio de negociações ou congelamentos para a maioria dos traders. 

A Trusted Volumes, formadora de mercado da 1Inch, foi afetada por um ataque cibernético que desviou US$ 4,5 milhões. Diversas outras formadoras de mercado menores também foram afetadas, totalizando um prejuízo de US$ 0,5 milhão. 

Foi difícil estimar o prejuízo exato, já que parte dos fundos estava em WETH, cujo preço é bastante volátil. A SlowMist estima o prejuízo total em cerca de US$ 5 milhões, dos quais US$ 2,4 milhões em USDC. Um total de 2 milhões de USDC foi movimentado em uma única transação, dividido em dois endereços.

De acordo com nossa análise, esse incidentedent em uma perda de 2,4 milhões de USDC e 1276 WETH, totalizando mais de 5 milhões de dólares.

— SlowMist (@SlowMist_Team) 7 de março de 2025

SlowMist identificou o contrato detracliquidação, que era o ponto central da exploração, drenando os fundos de vários formadores de mercado. 

Hacker drenou fundos de formador de mercado através do contrato inteligentetrac

O analista on-chain Chaofan Shou identificou o problema no contrato inteligente do resolvedortracque interagia com os bots de negociação dos formadores de mercado. Após o hacker cometer um erro, os exploradores de segurança tentaram recuperar parte dos fundos que o hacker havia enviado de volta para a 1Inch por engano.

A vulnerabilidade estava presente apenas na implementação Fusion V1 do contrato, agora obsoletatracAtualmente, a 1Inch utiliza uma versão revisada , mas manteve o resolvedor legado para alguns participantes do ecossistema. Após o incidente, a empresa destacou seu programa de recompensas, que oferece uma recompensa de até US$ 500 mil por vulnerabilidades críticas.

A 1Inch observou que todos os formadores de mercado agora estão usando umtracde liquidação atualizado, sem a vulnerabilidade. Investigadores on-chain notaram que o atacante explorou a capacidade de se conectar a bots e sacar seus fundos em vez de usá-los para liquidação na 1Inch. 

O hacker poderia forjar chamadas para os formadores de mercado e atacar diretamente sua liquidez. As chamadas para os formadores de mercado estavam falsificando otracoriginal da 1Inch e fizeram com que os robôs de negociação enviassem seus fundos para o atacante. 

A plataforma de formadora de mercado 1inch @trustedvolumes foi hackeada e perdeu mais de US$ 4,5 milhões, e algumas outras plataformas menores sofreram um prejuízo de US$ 0,5 milhão ontem.

A causa principal é que o 1inch chama a função resolveOrders do contrato MMtracenviar fundos ao seu contrato de liquidaçãotracA maioria dos bots verifica apenas o msg.sender = settlement… https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH

— Chaofan Shou (@Fried_rice) 7 de março de 2025

A 1Inch fez um apelo a todos os formadores de mercado comtracde resolução para que atualizassem suas versões, embora nenhuma nova movimentação de fundos tenha sido detectada. A vulnerabilidade não exige nenhuma ação dos usuários comuns e não afetou carteiras pessoais.

O recente ataque contra um contrato inteligente amplamente utilizadotracque a segurança da Web3 ainda é um problema, mesmo para protocolos líderes como o 1Inch. A plataforma possui uma 94,41% no Certik e era considerada altamente segura até recentemente.  

Apesar do monitoramento da Certik, nem todo o código do 1Inch foi verificado e auditado. Um total de três contratostracou cerca de 39% do código do projeto, foram verificados. O próprio 1Inch não é um alvo, já que o protocolo possui apenas US$ 4,35 milhões em valor bloqueado. 

O agregador DEX abrange sete blockchains diferentes, sendo Ethereum a mais ativa. O protocolo reduziu a geração de taxas após um pico recente em novembro e dezembro de 2024. Depois disso, o protocolo passou a gerar US$ 170 mil em taxas semanais. Apesar da menor atividade, o 1Inch continua sendo uma plataforma essencial para pequenos Ethereum . O protocolo manteve 549 mil usuários.

O token 1Inch não foi afetado após o ataque

O token 1Inch permaneceu praticamente inalterado após a notícia do ataque hacker, sendo negociado em torno de US$ 0,23, próximo de suas mínimas em três meses. O 1Inch traca tendência geral de desaceleração do mercado, com demanda limitada mesmo para tokens vinculados aos protocolos mais utilizados. 

Desde o mercado em alta de 2021, a 1Inch passou a priorizar usuários de menor porte. A maioria dos usuários realiza operações com valores inferiores a US$ 1.000, enquanto o valor médio das operações diminuiu em todas as plataformas. 

A 1Inch deixou de ser um campo de atuação exclusivo para grandes investidores ou usuários pioneiros, mantendo uma base menor de usuários para transações de baixo valor, às vezes abaixo de US$ 10.