流動性プロバイダー側のインフラで脆弱性悪用か
セキュリティ企業のブロックエイド(Blockaid)が、分散型取引所(DEX)アグリゲーター「ワンインチ(1inch)」関連の流動性プロバイダーであるトラステッドボリュームズ(TrustedVolumes)に対する進行中の攻撃を検知したと5月7日に発表した。
ブロックエイドによると、対象チェーンはイーサリアム(Ethereum)で、被害を受けたのはトラステッドボリュームズのリゾルバーコントラクトだという。なおリゾルバーとは、注文執行を担うマーケットメーカー側のインフラを指す。
同社によれば、これまでに約587万ドル(約9.1億円)相当の資産流出が確認されている。内訳は、1,291.16WETH、206,282USDT、16.939WBTC、1,268,771USDCとのことだ。
またブロックエイドは、今回の攻撃者が2025年3月に発生した「ワンインチ・フュージョンV1(1inch Fusion V1)」インシデントと同一の運営者であるとの見方を示している。一方で、今回の事案は当該インシデントとは別の脆弱性によるものであり、トラステッドボリュームズが管理するカスタムRFQスワッププロキシに関連すると説明している。
これについてワンインチ公式Xアカウントから声明が発表された。同プロトコルチームによると「ワンインチおよびワンインチプロトコルはいずれも今回の事案には関与していない」とのこと。
また同プロトコルチームは、ワンインチのシステム、インフラ、ユーザー資産への影響は確認されていないと伝えている。
さらに同社は、トラステッドボリュームズについて、業界内の複数プロトコルで利用されている独立した流動性プロバイダーであり、ワンインチ専属ではないと述べている。
また、オンチェーン分析企業ペックシールド(PeckShield)は同日同社のXアカウントにて、攻撃者は盗まれた資金を約2,513ETHへ交換していると報告した。
なお分散型金融(DeFi)領域では4月以降、大規模インシデントが相次いでいる。ディファイラマ(DeFiLlama)は4月について、「件数ベースで暗号資産(仮想通貨)史上最もハックの多い月」と説明していた。件数は20件を超えたとみられる。
代表的なインシデントとしては、4月2日に発生したドリフト(Drift Protocol)での約2億7,000万ドル(約422億円)規模の不審な資金移動がある。また、4月19日にはケルプDAO(KelpDAO)で約2億9,200万ドル(約456億円)規模のrsETH流出が確認されている。
🚨 Blockaid’s exploit detection system has identified an on-going exploit on TrustedVolumes (1inch market maker / resolver, @trustedvolumes ).
— Blockaid (@blockaid_) May 7, 2026
Chain: Ethereum
Victim contract: TrustedVolumes resolver — 0x9bA0CF1588E1DFA905eC948F7FE5104dD40EDa31
Exploiter:…
We are aware of misleading reports relating to an exploit involving TrustedVolumes. We can confirm that neither 1inch nor any of the 1inch protocols are involved.
— 1inch (@1inch) May 7, 2026
There is no impact on 1inch systems, infrastructure or user funds.
TrustedVolumes operate independently as a…
#PeckShieldAlert @trustedvolumes has been exploited for ~$5.9M, including $3.02M $ETH,$1.37M $WBTC & 1.47M stablecoins, the exploiter has swapped the stolen funds for 2.513K $ETH pic.twitter.com/HZ1LGlZJcC
— PeckShieldAlert (@PeckShieldAlert) May 7, 2026
画像:PIXTA