Exploitation de TrustedVolumes
TrustedVolumes, un fournisseur de liquidité et market maker associé à 1inch, a subi une exploitation qui a siphonné environ 5,87 millions de dollars de son contrat de résolution Ethereum, selon la société de sécurité blockchain Blockaid. Les actifs volés comprenaient :
- 1 291,16 WETH
- 206 282 USDT
- 16,939 WBTC
- 1 268 771 USDC
Détails de l’attaque
L’attaque a ciblé un proxy d’échange RFQ personnalisé contrôlé par TrustedVolumes, et non un itinéraire d’échange standard pour les utilisateurs. Blockaid a indiqué que l’attaquant était le même opérateur impliqué dans l’exploitation de 1inch Fusion V1 de mars 2025. Cependant, cette nouvelle attaque exploitait une vulnérabilité différente liée au proxy d’échange RFQ personnalisé de TrustedVolumes.
« L’incident de mars 2025 avait également touché des résolveurs tiers utilisant 1inch Fusion V1. »
BlockSec a rapporté que cette exploitation avait entraîné plus de 5 millions de dollars de pertes, les attaquants ayant abusé d’une gestion de calldata non sécurisée et des hypothèses de confiance des résolveurs. CertiK Alert, cité par Binance News, a précisé que l’attaquant avait utilisé une fonction publique pour s’enregistrer en tant qu’AllowedOrderSigner. L’attaquant a ensuite exécuté des ordres qui ont déplacé des fonds pré-autorisés depuis l’adresse de la victime.
Impact sur la sécurité DeFi
CertiK a conseillé aux utilisateurs de révoquer les approbations liées au contrat affecté. L’attaque contre TrustedVolumes est survenue après un mois d’avril difficile pour la sécurité DeFi. Crypto.news a rapporté que les protocoles avaient perdu plus de 606 millions de dollars au cours des 18 premiers jours d’avril, selon les données de DefiLlama. Ce total était principalement dû à deux grandes exploitations :
- Drift Protocol a perdu environ 285 millions de dollars
- Kelp DAO a perdu environ 292 millions de dollars
« Ces deux incidents représentaient la majorité des pertes enregistrées en avril à ce moment-là. »
Dans une mise à jour distincte, Crypto.news a rapporté que Wasabi Protocol avait perdu plus de 5 millions de dollars sur Ethereum, Base, Berachain et Blast. Les sociétés de sécurité ont indiqué qu’une clé d’administrateur compromise avait permis aux attaquants de mettre à jour des contrats et de siphonner des fonds.
Conclusion
L’incident de TrustedVolumes met en lumière les enjeux liés aux contrats de résolution, aux systèmes d’approbation et aux outils de création de marché personnalisés. Ces systèmes nécessitent souvent des autorisations spéciales pour déplacer des fonds et effectuer des échanges rapidement. Cette structure peut engendrer des risques lorsque les autorisations demeurent actives après que les contrats deviennent vulnérables. Elle peut également aggraver les pertes lorsque les attaquants parviennent à agir en tant que signataires de confiance ou à faire passer des fonds par des contrats approuvés.
Il est important de noter que tous les utilisateurs de 1inch n’ont pas été directement affectés. Les rapports disponibles indiquent que le propre résolveur et la configuration du proxy RFQ de TrustedVolumes sont les zones touchées.
