Le fournisseur de liquidité TrustedVolumes, opérant sur le protocole 1inch, a subi un exploit de smart contract qui a drainé environ 5,9 millions de dollars en ETH et BTC. Les données on-chain analysées par Blockaid révèlent que les fonds ont été convertis en 2 513 ETH. L’attaquant serait le même individu qui avait vidé 5 millions de dollars sur 1inch Fusion V1 en mars 2025.
Au programme
- 5,9 M$ dérobés via un exploit du smart contract de TrustedVolumes, fournisseur de liquidité du DEX 1inch (Crypto Times, 2026)
- L’attaquant présumé est le même que lors de l’exploit 1inch Fusion V1 de mars 2025, qui avait coûté 5 M$
- Les fonds volés ont été immédiatement swappés en 2 513 ETH, compliquant tout espoir de traçage ou de gel
Comment l’exploit a-t-il été exécuté ?
Les données on-chain confirment que l’attaquant a ciblé le smart contract du market maker TrustedVolumes, qui agit comme résolveur de liquidité sur l’agrégateur 1inch. Les fonds dérobés, libellés en ETH et BTC, ont été rapidement échangés contre 2 513 ETH selon Crypto Times. Ce type de conversion rapide est une technique classique pour rendre les actifs plus difficiles à tracer et à geler sur les exchanges.
Le cabinet de sécurité Blockaid a détecté l’attaque et identifié le schéma d’exploitation. L’alerte a été émise alors que l’exploit était encore en cours, signalant une opération active plutôt qu’une attaque ponctuelle. Le protocole 1inch lui-même n’a pas été compromis directement : c’est son écosystème de fournisseurs de liquidité tiers qui constitue le point d’entrée.
Un récidiviste déjà connu de l’écosystème 1inch ?
Blockaid attribue cet exploit au même acteur malveillant qui avait ciblé 1inch Fusion V1 en mars 2025, pour un butin d’environ 5 millions de dollars à l’époque. Si cette attribution se confirme, le même opérateur cumule désormais près de 11 millions de dollars de fonds dérobés sur des protocoles liés à 1inch en l’espace de 14 mois.
Cette récidive soulève une question directe : les correctifs apportés après l’exploit de mars 2025 ont-ils été insuffisants, ou l’attaquant a-t-il simplement pivoté vers un vecteur adjacent non corrigé ? Pour l’instant, ni 1inch ni TrustedVolumes n’ont publié de post-mortem technique.
Lecture CryptoActu L’exploit TrustedVolumes illustre un angle mort persistant dans l’architecture des DEX agrégateurs : la sécurité de la couche de résolution de liquidité repose sur des tiers dont les audits sont souvent moins rigoureux que ceux du protocole central. Trois des cinq plus gros exploits DeFi de 2025 ont ciblé ce même maillon, les fournisseurs de liquidité et les résolveurs, plutôt que les contrats core. Ce pattern devrait pousser 1inch et ses pairs à exiger des audits standardisés pour tout résolveur tiers autorisé.
Pourquoi les DEX agrégateurs restent des cibles de choix ?
Les agrégateurs comme 1inch orchestrent des transactions à travers de multiples sources de liquidité, chacune pilotée par un smart contract indépendant. Cette architecture multiplie mécaniquement les surfaces d’attaque. Un résolveur vulnérable suffit à compromettre l’ensemble du flux de fonds qui transite par lui.
Ce n’est pas la première fois que ce modèle est mis à l’épreuve. En 2023, un contre-exploit sur Wormhole avait permis de récupérer 225 M$ de fonds volés, soulignant à quel point les bridges et les protocoles de messagerie cross-chain concentrent les risques. Le cas TrustedVolumes rappelle que les vecteurs d’attaque migrent vers les couches les moins surveillées de la stack DeFi.
La pratique du swap DEX via 1inch repose sur la confiance accordée aux résolveurs tiers. Sans standard d’audit commun, chaque nouvel opérateur intégré représente un risque potentiel.
À retenir
Un exploit actif a vidé 5,9 M$ du résolveur TrustedVolumes sur 1inch, probablement par le même attaquant qu’en mars 2025. L’affaire met en lumière la fragilité des couches de liquidité tierces dans les DEX agrégateurs. À surveiller : la réponse technique de 1inch et une éventuelle publication de post-mortem dans les prochaines 48 heures.
