Компания Trusted Volumes, один из маркет-мейкеров на платформе 1Inch, подверглась хакерской атаке, в результате которой было украдено 4,5 млн долларов. Агрегатор DEX 1Inch немедленно заметил подозрительные оттоки средств, которые затронули лишь ограниченную часть протокола и не привели к блокировке или заморозке торгов для большинства трейдеров.
Маркет-мейкер компании 1Inch, Trusted Volumes, пострадал от хакерской атаки, в результате которой было похищено 4,5 млн долларов. Пострадали также несколько более мелких маркет-мейкеров, общая сумма ущерба составила 0,5 млн долларов.
Точный размер убытков сложно оценить, поскольку часть средств находилась в форме WETH, цена которого колеблется. По оценкам SlowMist, общие потери составляют около 5 миллионов долларов, из которых 2,4 миллиона долларов — в USDC. В рамках 2 миллиона USDC , распределенных между двумя адресами.
Согласно нашему анализу, в результате этого инцидента dent нанесен ущерб в размере 2,4 миллиона долларов США (USDC) и 1276 долларов США (WETH) , что в сумме составляет более 5 миллионов долларов.
— SlowMist (@SlowMist_Team) 7 марта 2025 г.
контракт trac по сделке 1Inch , который являлся центром мошеннической схемы, позволившей вывести средства у нескольких маркет-мейкеров.
Хакер выкачал средства маркет-мейкеров через смарт-tracResolver
Аналитик блокчейна Чаофан Шоу выявил проблему со смарт-контрактом-резолвером trac который взаимодействовал с торговыми ботами маркет-мейкеров. После ошибки хакера специалисты по анализу криптовалютных рынков попытались вернуть часть средств, которые хакер по ошибке отправил обратно в 1Inch.
Уязвимость присутствовала только в устаревшей реализации контракта Fusion V1 trac В настоящее время 1Inch использует переработанную версию , но сохранила устаревший механизм разрешения уязвимостей для некоторых участников экосистемы. После инцидента компания обратила внимание на свою программу вознаграждения за обнаружение , которая предлагает вознаграждение до 500 000 долларов за обнаружение критических уязвимостей.
Компания 1Inch отметила, что все маркет-мейкеры теперь используют обновленный расчетныйtrac, в котором отсутствует уязвимость. Специалисты по анализу блокчейна отметили, что злоумышленник воспользовался возможностью подключения к ботам и вывода средств вместо использования их для расчетов на платформе 1Inch.
Хакер мог подделывать звонки маркет-мейкерам и напрямую атаковать их ликвидность. Звонки маркет-мейкерам имитировали оригинальныйtrac1Inch и заставляли торговых ботов отправлять свои средства злоумышленнику.
маркет-мейкер @trustedvolumes , подвергся взлому на сумму более 4,5 млн долларов, а несколько более мелких маркет-мейкеров — на 0,5 млн долларов.
Основная причина в том, что 1inch вызывает функцию resolveOrders контракта MM для перевода средств на свой расчетный контракт trac trac ботов проверяли только msg.sender = settlement… https://t.co/CMo6x5S7Vg pic.twitter.com/kSnkP5jpiH
— Friedrice (svm/acc) (@shoucccc) 7 марта 2025 г.
Компания 1Inch призвала всех маркет-мейкеров, использующихtrac-резолверы, обновить свои версии, хотя никаких новых перемещений средств замечено не было. Для использования уязвимости не требуется никаких действий от обычных пользователей, и она не затронула личные кошельки.
Недавняя атака на широко используемый смарт-контракт trac , что безопасность Web3 по-прежнему остается проблемой, даже для ведущих протоколов, таких как 1Inch. Платформа имеет 94,41% от Certik и до недавнего времени считалась очень безопасной.
Несмотря на мониторинг со стороны Certik, не весь код 1Inch был проверен и подвергнут аудиту. Всего проверено три контракта trac или около 39% кода проекта. Сам 1Inch не является целью, поскольку протокол хранит в заблокированном состоянии 4,35 млн долларов
Агрегатор DEX охватывает семь различных блокчейнов, при этом Ethereum остается наиболее активным. После недавнего пика в ноябре и декабре 2024 года протокол замедлил генерацию комиссий. После этого протокол стал приносить 170 000 долларов в виде еженедельных комиссий. Несмотря на снижение активности, 1Inch остается основным инструментом для мелких Ethereum . Протокол сохранил 549 000 ежемесячно активных пользователей .
Токен 1Inch остался неизменным после взлома
Токен 1Inch практически не пострадал от новостей о взломе, торгуясь на уровне около 0,23 доллара, вблизи своих трехмесячных минимумов. 1Inch tracобщей тенденции замедления рынка, демонстрируя ограниченный спрос даже на токены, привязанные к наиболее распространенным протоколам.
С момента бычьего рынка 2021 года платформа 1Inch переориентировалась на мелких пользователей. Большинство пользователей размещают сделки на сумму менее 1000 долларов, а средний размер сделки снизился для всех блокчейнов.
1Inch больше не является площадкой для крупных игроков или первых пользователей, а сохраняет небольшую базу пользователей для обмена товарами низкой стоимости , иногда менее чем за 10 долларов.
