TrustedVolumes, penyedia likuiditas yang digunakan oleh berbagai protokol DeFi, mengalami peretasan (exploit) yang menyebabkan kerugian sekitar $6,7 juta aset kripto.

Perusahaan analitik blockchain Blockaid melaporkan bahwa sistem deteksinya menemukan serangan pada kontrak TrustedVolumes di jaringan Ethereum. Pelaku berhasil mencuri berbagai aset, termasuk sekitar 1.291 WETH, 206.282 USDT, 16,93 WBTC, dan 1,26 juta USDC.

Peneliti menduga pelaku yang sama juga terlibat dalam insiden 1inch Fusion V1 pada Maret 2025, namun kali ini mengeksploitasi celah berbeda pada custom RFQ swap proxy milik TrustedVolumes. RFQ (request-for-quote) swap proxy sendiri adalah kontrak yang digunakan untuk mengatur penawaran harga dan pertukaran token antara market maker dan trader.

TrustedVolumes telah mengonfirmasi insiden tersebut dan mempublikasikan tiga alamat wallet yang menyimpan dana hasil curian, masing-masing sekitar $3 juta, $3 juta, dan $700.000. Tim juga menyatakan terbuka untuk diskusi terkait program bug bounty dan kemungkinan penyelesaian secara damai dengan pelaku.

Menurut Hakan Unal, kepala senior operasi keamanan di perusahaan keamanan kripto Cyvers, akar masalah berasal dari kombinasi beberapa kelemahan teknis, yaitu permissionless signer registration, replay protection yang rusak, dan field sumber transfer yang tidak tervalidasi.

Celah ini memungkinkan pelaku bertindak seolah-olah sebagai penandatangan terpercaya dan menarik dana tanpa izin yang sah. Dana kemudian dialirkan melalui platform exchange berisiko tinggi tanpa KYC seperti ChangeNow, sebelum akhirnya dikonversi ke ETH.

“Kerusakannya bisa saja jauh lebih besar,” kata Unal. “Karena sistem replay protection tidak berfungsi, pelaku berpotensi menguras akun lain yang sudah memberikan persetujuan secara berulang.”