Le teneur de marché DeFi TrustedVolumes a perdu environ 6,7 millions de dollars en actifs numériques après qu'un attaquant a exploité une vulnérabilité dans son infrastructure de swap personnalisée sur Ethereum. L'entreprise, qui agit en tant que résolveur pour le protocole 1inch Fusion, a confirmé la brèche et a déclaré que les fonds volés étaient détenus dans trois portefeuilles Ethereum distincts.
« La cause profonde était une combinaison d'enregistrement de signataire sans permission, d'une protection contre le rejeu défaillante et d'un champ source de transfert non validé », a déclaré Hakan Unal, responsable senior des opérations de sécurité chez la firme de cybersécurité Cyvers, à Decrypt. La société de sécurité Blockaid a été la première à signaler l'activité non autorisée, CertiK identifiant plus tard le vecteur d'attaque spécifique qui a permis à l'exploitant de s'enregistrer en tant que signataire de confiance et de vider les fonds.
Les actifs volés comprennent environ 1 291 Wrapped Ether (WETH), 1,26 million de USDC, 206 282 USDT et 16,93 Wrapped Bitcoin (WBTC), selon les données de Blockaid. TrustedVolumes a confirmé la perte totale et a publié les trois adresses de portefeuilles détenant les fonds, contenant respectivement environ 3 millions, 3 millions et 700 000 dollars. L'entreprise a déclaré sur X qu'elle était « ouverte à une communication constructive concernant une prime aux bogues et une résolution mutuellement acceptable ».
L'agrégateur de finance décentralisée 1inch a pris ses distances avec l'incident, soulignant que son protocole central et les fonds des utilisateurs n'avaient pas été compromis. TrustedVolumes exploite ses propres contrats indépendants, et bien qu'il serve de source de liquidité parmi d'autres pour 1inch, la faille a été contenue dans ses propres systèmes. « Nous pouvons confirmer que ni 1inch ni aucun des protocoles 1inch ne sont impliqués », a posté la plateforme sur X, ajoutant que la présentation de certains rapports était « finalement déroutante et préjudiciable ».
Vecteur d'attaque et implications
La vulnérabilité a permis à l'attaquant d'obtenir des autorisations en appelant une fonction publique, une faille qui, selon les experts en sécurité, aurait pu entraîner des pertes encore plus importantes. « La protection contre le rejeu étant non fonctionnelle, l'attaquant aurait potentiellement pu vider d'autres comptes approuvés de manière répétée », a noté Unal de Cyvers. L'incident met en évidence les défis de sécurité persistants auxquels sont confrontés les protocoles DeFi qui reposent sur des interactions complexes de contrats intelligents.
Des sociétés d'analyse blockchain auraient lié l'exploitant à un incident précédent impliquant 1inch Fusion en mars 2025, suggérant un acteur persistant ciblant les vulnérabilités au sein de l'écosystème DeFi. Pour sa part, 1inch a déclaré travailler avec des partenaires de sécurité pour analyser l'exploit et intégrer les conclusions dans ses processus continus de sécurité et d'intégration.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
