Protokół TrustedVolumes padł ofiarą exploita inteligentnego kontraktu, tracąc 6,7 mln USD w tokenach WETH, WBTC i USDT. Atak miał miejsce w czwartek wieczorem i polegał na nieuprawnionym zarejestrowaniu się jako autoryzowany sygnatariusz w publicznym kontrakcie Custom RFQ Swap Proxy.
Szczegóły techniczne incydentu
Sprawcą okazał się ten sam haker, który w marcu 2025 roku przeprowadził exploit na kontrakcie 1inch Fusion V1 Settlement, powodując wówczas stratę 5 mln USD. W tamtym przypadku większość środków została zwrócona po negocjacjach związanych z programem bug bounty. Tym razem 1inch nie odnotował żadnego wpływu na własne systemy ani na środki użytkowników.
Podatność wynikała z braku odpowiednich kontroli dostępu w publicznym kontrakcie proxy. Atakujący mógł zarejestrować się jako zaufany sygnatariusz bez posiadania wymaganych uprawnień, co pozwoliło na przejęcie aktywów z puli.
Wzrost liczby ataków na zdecentralizowane finanse
Kwiecień przyniósł 40 incydentów w sektorze DeFi, generując łączne straty na poziomie 647 mln USD. Stanowi to wzrost o 1140 proc. względem 52,2 mln USD odnotowanych w marcu. Dwa największe przypadki – Drift Protocol oraz KelpDAO – odpowiadały za 91 proc. wszystkich kwietniowych strat, wynosząc odpowiednio 285 mln USD i 290 mln USD.
Tak gwałtowny skok strat wskazuje na rosnącą atrakcyjność większych protokołów jako celów. Koncentracja strat w kilku incydentach sugeruje, że hakerzy skupiają się na platformach o wysokiej wartości zablokowanych środków, gdzie jedna luka może przynieść wielokrotnie wyższe zyski niż ataki na mniejsze projekty.
Kontekst historyczny i ryzyka projektowe
Historia podobnych luk pokazuje, że publicznie dostępne kontrakty proxy często stają się wektorem ataku, gdy mechanizmy autoryzacji nie są wystarczająco restrykcyjne. W przeszłości podobne błędy prowadziły do dużych odpływów środków, choć niektóre z nich kończyły się częściowym odzyskaniem aktywów poprzez negocjacje lub programy nagród.
Obecny przypadek potwierdza, że nawet doświadczeni gracze rynku DeFi pozostają podatni na powtarzalne schematy ataków. Wzrost skali strat w kwietniu wymaga od deweloperów większego nacisku na formalną weryfikację kodu oraz ograniczenie powierzchni ataku w komponentach publicznych.
Co to oznacza dla polskiego inwestora
Polscy użytkownicy zdecentralizowanych protokołów finansowych powinni zwracać szczególną uwagę na audyty bezpieczeństwa i strukturę uprawnień w inteligentnych kontraktach, z których korzystają. Incydenty takie jak ten w TrustedVolumes przypominają, że ochrona środków opiera się przede wszystkim na transparentności kodu i ostrożnym zarządzaniu ryzykiem, a nie na dodatkowych nakładach administracyjnych.
Nadmiarowe polskie przepisy ponad wymogi unijnego rozporządzenia MiCA mogą ograniczać dostęp do innowacyjnych rozwiązań bez realnego wpływu na techniczne bezpieczeństwo kontraktów. W krajach takich jak Czechy czy Słowacja sektor rozwija się dynamiczniej przy mniejszym obciążeniu regulacyjnym, co daje lokalnym inwestorom szerszy wybór protokołów.
Inwestorzy powinni rozważyć dywersyfikację metod przechowywania aktywów oraz regularne monitorowanie aktualizacji w wykorzystywanych aplikacjach DeFi. Jak zabezpieczyć kryptowaluty pozostaje kluczową umiejętnością niezależnie od kierunku zmian prawnych.
Perspektywy na przyszłość
Rynek zdecentralizowanych finansów będzie nadal narażony na próby wykorzystania luk w kodzie, dopóki protokoły nie wdrożą bardziej rygorystycznych mechanizmów kontroli dostępu. Wzrost strat w kwietniu pokazuje, że skala zagrożeń rośnie wraz z wartością zablokowanych środków.
Dla polskiego rynku istotne będzie zachowanie równowagi między ochroną użytkowników a możliwością korzystania z globalnych innowacji. Projekty, które szybko usuwają podatności i komunikują się z badaczami bezpieczeństwa, mają większe szanse na utrzymanie zaufania inwestorów.
Powyższy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady inwestycyjnej.
