1inch: parceiro perde US$ 6,7 mi em ataque DeFi

TrustedVolumes se torna o quinto grande ataque DeFi em maio e amplia alerta sobre contratos resolver e permissões customizadas.

O setor de finanças descentralizadas voltou a registrar um incidente relevante. Desta vez, uma infraestrutura associada à agregadora 1inch foi explorada, ampliando a sequência recente de ataques no mercado cripto. Além disso, pesquisadores de segurança indicam que o responsável pode estar ligado a outras explorações ao longo do ano.

Com prejuízos acumulados em maio, crescem as dúvidas sobre a segurança de contratos do tipo resolver. Ao mesmo tempo, sistemas de permissões customizadas entram no foco, já que são amplamente usados para acelerar negociações. Ainda assim, essas estruturas podem ampliar riscos quando mal configuradas.

TrustedVolumes sofre ataque e perde milhões

A empresa de segurança blockchain Blockaid informou que o provedor de liquidez TrustedVolumes foi alvo de um ataque ativo. O alvo foi um contrato resolver na rede Ethereum. Como resultado, os invasores desviaram cerca de US$ 5,87 milhões em ativos digitais, valor que posteriormente se aproximou de US$ 6,7 milhões.

Entre os ativos roubados estão 1.291,16 Wrapped Ether, 206.282 Tether, 16,939 Wrapped Bitcoin e mais de 1,26 milhão em USDC. Segundo a Blockaid, a vulnerabilidade estava ligada a um proxy de swap do tipo request-for-quote, controlado pela TrustedVolumes. Em outras palavras, o ataque explorou um ponto crítico da infraestrutura de liquidez.

Além disso, os pesquisadores associam o invasor ao ataque ocorrido em março de 2025 contra o 1inch Fusion V1, que resultou em perdas próximas de US$ 5 milhões. Ainda assim, a falha atual apresenta diferenças técnicas relevantes.

Infraestrutura da 1inch não foi afetada

A TrustedVolumes confirmou o incidente e indicou que pode implementar um programa de recompensa por bugs, com o objetivo de identificar vulnerabilidades e evitar novos ataques. Até o momento, não há detalhes sobre eventual recuperação dos fundos.

Por outro lado, a 1inch declarou publicamente que seus sistemas não foram comprometidos. Assim sendo, a empresa afirmou que sua infraestrutura principal e os fundos dos usuários permanecem seguros. Ademais, destacou que a TrustedVolumes opera de forma independente, apesar da integração com diversos protocolos.

Esse posicionamento reduz preocupações imediatas com a agregadora. Ainda assim, evidencia a complexidade do ecossistema DeFi, no qual múltiplos provedores interagem de forma interdependente.

Ataques em sequência pressionam o setor DeFi

Os incidentes de segurança no mercado de criptomoedas vêm crescendo de forma expressiva. Dados da DefiLlama mostram que mais de US$ 750 milhões foram roubados em abril. Esse volume representa o maior prejuízo mensal desde fevereiro de 2025, quando o hack da Bybit gerou perdas próximas de US$ 1,5 bilhão.

Além disso, o caso da TrustedVolumes marca o quinto grande ataque registrado apenas em maio. Poucos dias antes, o protocolo Ekubo perdeu cerca de US$ 1,4 milhão em Wrapped Bitcoin, após falha relacionada ao controle de acesso em contratos de roteamento de swaps.

Contratos resolver ampliam superfície de risco

Segundo a Blockaid, o ataque ao Ekubo explorou um mecanismo vulnerável de callback de pagamento ligado à extensão EVM. Dessa forma, observa-se um padrão: falhas em componentes críticos continuam levando a perdas relevantes.

Contratos resolver e sistemas de aprovação personalizados aumentam a eficiência das operações. Contudo, exigem permissões elevadas, o que amplia a superfície de ataque. Portanto, quando acessos confiáveis são comprometidos, o impacto tende a ser significativamente maior.

No caso envolvendo a 1inch e a TrustedVolumes, milhões em ativos foram drenados a partir de uma falha específica, enquanto a agregadora manteve suas operações intactas. Em conclusão, a repetição desses episódios reforça a pressão por auditorias mais rigorosas e melhorias estruturais no setor DeFi.

Veja Também