Акции компании Trusted Volumes, работающей на рынке 1Inch, были взломаны, в результате чего было украдено 4,5 млн долларов

Компания Trusted Volumes, один из маркет-мейкеров на платформе 1Inch, подверглась хакерской атаке, в результате которой было украдено 4,5 млн долларов. Агрегатор DEX 1Inch немедленно заметил подозрительные оттоки средств, которые затронули лишь ограниченную часть протокола и не привели к блокировке или заморозке торгов для большинства трейдеров. 

Маркет-мейкер компании 1Inch, Trusted Volumes, пострадал от хакерской атаки, в результате которой было похищено 4,5 млн долларов. Пострадали также несколько более мелких маркет-мейкеров, общая сумма ущерба составила 0,5 млн долларов. 

Точный размер убытков сложно оценить, поскольку часть средств находилась в форме WETH, цена которого колеблется. По оценкам SlowMist, общие потери составляют около 5 миллионов долларов, из которых 2,4 миллиона долларов — в USDC. В рамках 2 миллиона USDC , распределенных между двумя адресами.

Согласно нашему анализу, в результате этого инцидентаdent нанесен ущерб в размере 2,4 миллиона долларов США (USDC) и 1276 долларов США (WETH), что в сумме составляет более 5 миллионов долларов.

— SlowMist (@SlowMist_Team) 7 марта 2025 г.

SlowMist точно определила поtracконтракт сделке 1Inch , который являлся центром мошеннической схемы, позволившей вывести средства у нескольких маркет-мейкеров. 

Хакер выкачал средства маркет-мейкеров через смарт-tracResolver

Аналитик блокчейна Чаофан Шоу выявил проблему со смарт-контрактом-резолверомtracкоторый взаимодействовал с торговыми ботами маркет-мейкеров. После ошибки хакера специалисты по анализу криптовалютных рынков попытались вернуть часть средств, которые хакер по ошибке отправил обратно в 1Inch.

Уязвимость присутствовала только в устаревшей реализации контракта Fusion V1tracВ настоящее время 1Inch использует переработанную версию , но сохранила устаревший механизм разрешения уязвимостей для некоторых участников экосистемы. После инцидента компания обратила внимание на свою программу вознаграждения за обнаружение, которая предлагает вознаграждение до 500 000 долларов за обнаружение критических уязвимостей.

Компания 1Inch отметила, что все маркет-мейкеры теперь используют обновленный расчетныйtrac, в котором отсутствует уязвимость. Специалисты по анализу блокчейна отметили, что злоумышленник воспользовался возможностью подключения к ботам и вывода средств вместо использования их для расчетов на платформе 1Inch. 

Хакер мог подделывать звонки маркет-мейкерам и напрямую атаковать их ликвидность. Звонки маркет-мейкерам имитировали оригинальныйtrac1Inch и заставляли торговых ботов отправлять свои средства злоумышленнику. 

маркет-мейкер @trustedvolumes , подвергся взлому на сумму более 4,5 млн долларов, а несколько более мелких маркет-мейкеров — на 0,5 млн долларов.

Основная причина в том, что 1inch вызываетtracфункцию resolveOrders контракта MM для перевода средств на свой расчетный контрактtracботов проверяли только msg.sender = settlement… https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH

— Чаофан Шоу (@Fried_rice) 7 марта 2025 г.

Компания 1Inch призвала всех маркет-мейкеров, использующихtrac-резолверы, обновить свои версии, хотя никаких новых перемещений средств замечено не было. Для использования уязвимости не требуется никаких действий от обычных пользователей, и она не затронула личные кошельки.

Недавняя атака на широко используемый смарт-контрактtrac, что безопасность Web3 по-прежнему остается проблемой, даже для ведущих протоколов, таких как 1Inch. Платформа имеет 94,41% от Certik и до недавнего времени считалась очень безопасной.  

Несмотря на мониторинг со стороны Certik, не весь код 1Inch был проверен и подвергнут аудиту. Всего проверено три контрактаtracили около 39% кода проекта. Сам 1Inch не является целью, поскольку протокол хранит в заблокированном состоянии  всего 4,35 млн долларов

Агрегатор DEX охватывает семь различных блокчейнов, при этом Ethereum остается наиболее активным. После недавнего пика в ноябре и декабре 2024 года протокол замедлил генерацию комиссий. После этого протокол стал приносить 170 000 долларов в виде еженедельных комиссий. Несмотря на снижение активности, 1Inch остается основным инструментом для мелких Ethereum . Протокол сохранил 549 000 ежемесячно активных пользователей.

Токен 1Inch остался неизменным после взлома

Токен 1Inch практически не пострадал от новостей о взломе, торгуясь на уровне около 0,23 доллара, вблизи своих трехмесячных минимумов. 1Inch tracобщей тенденции замедления рынка, демонстрируя ограниченный спрос даже на токены, привязанные к наиболее распространенным протоколам. 

С момента бычьего рынка 2021 года платформа 1Inch переориентировалась на мелких пользователей. Большинство пользователей размещают сделки на сумму менее 1000 долларов, а средний размер сделки снизился для всех блокчейнов. 

1Inch больше не является площадкой для крупных игроков или первых пользователей, а сохраняет небольшую базу пользователей для обмена товарами низкой стоимости, иногда менее чем за 10 долларов.