Из DeFi-протокола Trusted Volumes вывели около $5.9 млн в Ethereum, Wrapped Bitcoin и стейблкоинах. Уязвимость в проверке криптографических подписей позволила хакеру обойти авторизацию и подделать торговые ордера, а украденные средства уже начали перемещаться через децентрализованные биржи.

По данным блокчейн-аналитиков SlowMist и PeckShield, хакер вывел 1 291 ETH (около $3.02 млн), 16.94 WBTC ($1.37 млн), 1.26 млн USDC и 206 000 USDT. Общая сумма потерь оценивается примерно в $5.9 млн.

Trusted Volumes – это торговый DeFi-протокол, работающий по модели RFQ (Request for Quote) – когда один участник запрашивает котировку, а другой предлагает фиксированную цену. Оба подписывают сделку криптографическими ключами, и смарт-контракт проводит обмен. Протокол выступает поставщиком ликвидности для агрегатора 1inch.

Роковая ошибка оказалась в функции fillOrder – она отвечает за проверку подписей при исполнении сделки. Логический баг в этой функции позволил атакующему обойти проверку авторизации и создавать поддельные ордера. Для пользователей RFQ-протоколов критически важна именно проверка подписей: они заранее дают протоколу разрешение на перемещение своих токенов, и если верификация даёт сбой, средства оказываются беззащитны.

Согласно исследователям Blockaid, пользователям даже не нужно было одобрять новые транзакции – атакующему хватило ранее выданных разрешений на доступ к токенам. Это один из самых коварных рисков DeFi: безлимитные аппрувы, которые остаются активными даже после того, как пользователь перестаёт пользоваться протоколом.

Этот взлом – не первая проблема с безопасностью для Trusted Volumes. По данным Blockaid, атакующий предположительно связан со взломом 1inch Fusion V1 в марте 2025 года. Тогда хакер украл около $5 млн, эксплуатируя уязвимость в устаревших контрактах резолверов, к которым относился и TrustedVolumes. Исследователи обнаружили совпадения между уязвимым прокси-контрактом и кошельком эксплойтера, связанным с прошлогодней атакой.

💬 Заходите в наш Telegram-чат 2Bitcoins, если хотите обсудить новость с другими читателями.

В 2025 году большую часть средств удалось вернуть через переговоры – хакер оставил себе лишь вознаграждение за баунти. Сейчас ситуация развивается иначе: ончейн-данные подтверждают, что атакующий уже начал отмывать украденные стейблкоины и WBTC через децентрализованную биржу, не дожидаясь каких-либо переговоров.

Движение украденных средств через децентрализованные биржи

Взлом Trusted Volumes стал уже пятым крупным DeFi-эксплойтом за последний месяц. По данным DefiLlama, только в апреле 2026 года из протоколов было украдено примерно $635 млн – это рекордный показатель со времён взлома Bybit на $1.5 млрд в 2025 году.

📲 Следите за новостями в нашем Telegram-канале 2Bitcoins.

Среди крупнейших инцидентов 2026 года – взлом Drift Protocol на $285 млн и атака на Kelp DAO на $292 млн. Общие потери DeFi-сектора к середине апреля превысили $750 млн, что уже обогнало полные годовые показатели с 2023 года. Эксперты по безопасности из Ledger прямо заявляют: 2026 год, вероятно, станет худшим по объёму хакерских атак.

Для держателей криптовалют, которые используют DeFi-протоколы, случай с Trusted Volumes – ещё одно напоминание о необходимости регулярно проверять и отзывать старые разрешения на доступ к токенам. Безлимитные аппрувы – это тикающая бомба: даже после того, как вы перестали пользоваться сервисом, ваш кошелёк остаётся уязвимым.

Главный вопрос сейчас – удастся ли идентифицировать атакующего через связь с прошлогодним эксплойтом 1inch и есть ли ещё нераскрытые уязвимости в резолверных контрактах экосистемы. Расследование продолжается.

ПОДПИСЫВАЙТЕСЬ НА НАШ КАНАЛ В ТЕЛЕГРАМЕ, ЧТОБЫ БЫТЬ В КУРСЕ.

Bitcoin price in Telegram @btc_price_every_hour

8 +