ブロックチェーンセキュリティ企業のブロックエイド(Blockaid)は7日、分散型取引所アグリゲーター1inchのマーケットメーカー兼リゾルバーとして機能するTrustedVolumesが進行中のエクスプロイト攻撃を受けていることを検知したと、公式Xアカウントで発表した。同社のエクスプロイト検知システムがリアルタイムでアラートを発し、これまでに約587万ドル(約9.2億円)相当の仮想通貨が流出したことが確認されている。
流出した資産の内訳は、WETHが1,291.16枚、USDTが206,282枚、WBTCが16.939枚、USDCが1,268,771枚となっている。攻撃対象はTrustedVolumesのリゾルバーコントラクトで、攻撃者のアドレスは0xC3EB…と特定されており、特定のエクスプロイトトランザクションも公開されている。
ブロックエイドの分析によると、今回悪用された脆弱性はTrustedVolumesが独自に管理するカスタムRFQ(リクエスト・フォー・クォート)スワッププロキシに存在しており、1inchのプロトコル本体とは別のコンポーネントに起因する。
さらに今回の攻撃者は、2025年3月に発生した1inch Fusion V1インシデントと同一のオペレーターと判明しており、継続的な標的型攻撃の可能性が指摘されている。ブロックエイドは引き続き調査を進め、詳細については順次公開するとしている。
今回の事案は、DeFiへの攻撃が急増している局面で発生した。4月だけでもドリフト(Drift)やケルプDAO(Kelp DAO)など複数のプロトコルが相次いで攻撃を受けており、月間の被害総額は6億を超えた。DeFiエコシステム全体でセキュリティへの警戒感が高まっている。
