TrustedVolumes, firma dostarczająca płynność oraz pełniąca funkcję market makera dla agregatora 1inch, padła ofiarą exploitu inteligentnego kontraktu w czwartek wieczorem. Straty wyniosły ostatecznie 6,7 mln USD w tokenach WETH, WBTC oraz USDT. Atak wykorzystał lukę w logice weryfikacji podpisów w kontrakcie Custom RFQ Swap Proxy, która pozwalała nieautoryzowanym podmiotom rejestrować się jako sygnatariusze zleceń.
Przebieg i mechanizm naruszenia
Publiczna funkcja bez odpowiednich modyfikatorów uprawnień umożliwiła atakującemu przejęcie kontroli nad zleceniami handlowymi. Haker nie musiał włamywać się do infrastruktury 1inch ani uzyskiwać dostępu do portfeli użytkowników. Cała operacja ograniczyła się do manipulacji logiką kontraktu po stronie TrustedVolumes.
1inch szybko potwierdził, że jego własne systemy oraz środki klientów pozostały nietknięte. Incydent pokazuje, jak niezależni dostawcy płynności mogą stanowić oddzielny wektor ryzyka nawet w ramach dojrzałych protokołów.
Powtórka z marca 2025 roku
Ten sam sprawca dokonał wcześniej włamania do kontraktu 1inch Fusion V1 Settlement, uzyskując 5 mln USD. Wówczas haker zaproponował program bug bounty i zwrócił większość środków. TrustedVolumes zadeklarowało gotowość do podobnych rozmów, co sugeruje, że część branży nadal traktuje takie incydenty jako okazję do negocjacji zamiast wyłącznie jako przestępstwo.
Taka postawa powtarzających się aktorów rodzi pytania o skuteczność obecnych mechanizmów reputacji on-chain. Protokoły rzadko blokują adresy po pierwszym incydencie, jeśli sprawca zwróci część środków.
Statystyki strat w DeFi w kwietniu
W samym kwietniu branża odnotowała 40 poważnych włamań na łączną kwotę 647 mln USD. To wzrost o 1140 proc. wobec 52,2 mln USD z marca oraz o 292 proc. wobec 165 mln USD z pierwszego kwartału. Dwa największe incydenty – Drift Protocol i KelpDAO – odpowiadały za 91 proc. wszystkich strat.
Tak gwałtowny skok wskazuje, że wzrost wolumenu i złożoności protokołów nie idzie w parze z proporcjonalnym wzmocnieniem audytów. Wielu projektów wciąż wdraża niestandardowe kontrakty bez wystarczającego pokrycia testami formalnymi.
Konsekwencje dla polskiego inwestora
Polscy użytkownicy zdecentralizowanych finansów (DeFi) powinni traktować każdy dostęp do kapitału przez zewnętrznych market makerów jako dodatkowe ryzyko. Nawet gdy główny protokół pozostaje nienaruszony, utrata płynności po stronie partnera może prowadzić do niekorzystnych cen wykonania zleceń.
Wysokie opłaty i długie procedury administracyjne proponowane w krajowych projektach ustaw nie eliminują luk w kodzie. Inwestorzy zyskują więcej dzięki samodzielnemu przechowywaniu kluczy oraz korzystaniu z narzędzi do weryfikacji kontraktów niż z kolejnych nakazów zgłaszania aktywności do urzędów.
Porównanie z Czechami czy Słowacją pokazuje, że lżejsze otoczenie regulacyjne nie zwiększa liczby exploitów, za to ułatwia szybką reakcję lokalnych zespołów deweloperskich. Polskie podmioty działające w szarej strefie lub przenoszące się za granicę tracą możliwość budowania lokalnej wiedzy o zabezpieczeniach.
Podsumowanie i kierunki rozwoju
Incydent TrustedVolumes przypomina, że bezpieczeństwo w DeFi zależy przede wszystkim od jakości kodu oraz procesów weryfikacji uprawnień. Powtarzające się ataki tego samego sprawcy wskazują na potrzebę szerszego stosowania mechanizmów reputacji oraz automatycznych limitów na nowe sygnatariusze.
Inwestorzy powinni monitorować nie tylko główne protokoły, lecz także ich dostawców płynności i zakładać, że każdy niestandardowy kontrakt może zawierać pominięte sprawdzenia. Dalszy rozwój branży wymaga bardziej rygorystycznych audytów oraz otwartości na white-hat disclosure, a nie kolejnych warstw biurokracji.
Powyższy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady inwestycyjnej.
