Exploits nel Settore DeFi: Il Caso di TrustedVolumes
TrustedVolumes, un fornitore di liquidità e market maker associato a 1inch, è stato vittima di un exploit che ha drenato circa 5,87 milioni di dollari dal suo contratto di risoluzione su Ethereum, secondo quanto riportato dalla società di sicurezza blockchain Blockaid.
Dettagli dell’Attacco
Gli asset rubati includevano:
- 1.291,16 WETH
- 206.282 USDT
- 16.939 WBTC
- 1.268.771 USDC
L’attacco ha colpito un proxy di scambio RFQ personalizzato controllato da TrustedVolumes, piuttosto che un percorso di scambio standard utilizzato dagli utenti. Blockaid ha dichiarato che l’attaccante era lo stesso operatore coinvolto nell’exploit di 1inch Fusion V1 avvenuto a marzo 2025. Tuttavia, la società ha specificato che l’ultimo attacco ha sfruttato una vulnerabilità diversa legata al proxy di scambio RFQ personalizzato di TrustedVolumes.
“L’incidente di marzo 2025 aveva colpito anche risolutori di terze parti che utilizzavano 1inch Fusion V1.”
BlockSec ha successivamente affermato che quell’exploit aveva causato perdite superiori a 5 milioni di dollari, poiché gli attaccanti avevano abusato della gestione non sicura dei dati di chiamata e delle assunzioni di fiducia del risolutore.
Meccanismo dell’Attacco
CertiK Alert, citato da Binance News, ha riferito che l’attaccante ha utilizzato una funzione pubblica per registrarsi come AllowedOrderSigner. L’attaccante ha quindi eseguito ordini che spostavano fondi pre-autorizzati dall’indirizzo della vittima. CertiK ha consigliato agli utenti di revocare le approvazioni collegate al contratto interessato.
Impatto sul Settore DeFi
L’attacco a TrustedVolumes è avvenuto dopo un aprile difficile per la sicurezza nel settore DeFi. Crypto.news ha riportato che i protocolli hanno subito perdite superiori a 606 milioni di dollari nei primi 18 giorni di aprile, secondo i dati di DefiLlama. Tale somma è stata principalmente influenzata da due grandi incidenti:
- Drift Protocol ha perso circa 285 milioni di dollari
- Kelp DAO ha subito perdite di circa 292 milioni di dollari
Crypto.news ha evidenziato che questi due exploit rappresentavano la maggior parte delle perdite registrate ad aprile fino a quel momento.
Conclusioni e Riflessioni
In un aggiornamento separato, Crypto.news ha riportato che Wasabi Protocol ha perso oltre 5 milioni di dollari su Ethereum, Base, Berachain e Blast. Le società di sicurezza hanno affermato che una chiave di amministratore compromessa ha consentito agli attaccanti di aggiornare i contratti e drenare fondi.
Il caso di TrustedVolumes riporta l’attenzione sui contratti di risoluzione, sui sistemi di approvazione e sugli strumenti di market-making personalizzati. Questi sistemi spesso richiedono permessi speciali per spostare fondi e completare rapidamente le operazioni. Tale struttura può comportare rischi quando i permessi rimangono attivi anche dopo che i contratti diventano vulnerabili.
È importante notare che l’incidente non implica che tutti gli utenti di 1inch siano stati colpiti direttamente; i rapporti disponibili indicano il risolutore e la configurazione del proxy RFQ di TrustedVolumes come le aree interessate.
