Le teneur de marché TrustedVolumes, qui fournit des liquidités à l'agrégateur d'échanges décentralisés (DEX) 1inch, a perdu près de 6 millions de dollars à la suite d'un piratage.
Des individus inconnus ont retiré des actifs dans plusieurs jetons, dont 1 291 Wrapped Ethereum (WETH) d'une valeur d'environ 3,02 millions de dollars, 16,94 Wrapped Bitcoin (WBTC) d'une valeur de 1,37 million de dollars, ainsi que des stablecoins USDC d'une valeur de 1,26 million de dollars et USDT d'une valeur d'environ 206 000 dollars.
Les spécialistes en cybersécurité de Blockaid ont attribué le succès de l'attaque à une vulnérabilité du mécanisme de vérification de signature numérique du contrat intelligent du protocole. Le pirate a exploité la fonction publique du contrat pour enregistrer sa propre adresse comme signataire autorisé des ordres de transaction.
L'attaquant a pu falsifier des ordres et retirer des fonds d'utilisateurs en utilisant des autorisations d'accès aux actifs précédemment accordées. Après le piratage de TrustedVolume, la majeure partie des fonds volés a été convertie en Ether. L'attaquant, dont l'identité reste inconnue, a ensuite réparti les fonds sur plusieurs portefeuilles de cryptomonnaies afin de dissimuler leur origine et de compliquer leur traçabilité.
L'équipe du projet a confirmé le piratage et annoncé l'ouverture d'une enquête sur l'incident.
Le même pirate informatique impliqué dans la faille de sécurité du protocole Fusion V1 de 1 pouce en mars 2025 serait à l'origine de cette attaque, selon les représentants de Blockaid.
Auparavant, des experts de la société de cybersécurité PeckShieldAlert avaient signalé le vol de plus de 400 000 stablecoins USDT du système du projet crypto Aethir via l’outil AethirOFTAdapter, utilisé pour transférer des jetons entre les blockchains.