TrustedVolumesの脆弱性を悪用して590万ドルが盗まれる
イーサリアムブロックチェーン上の流動性プロバイダーであるTrustedVolumesは、2026年5月7日(木曜日)、ハッカーによって約590万ドル(約9.3億円)の資金を失った事が明らかになった。
ハッカーは、イーサリアム(Ethereum)ブロックチェーン上の1inchマーケットメーカー兼リゾルバーであるTrustedVolumesから約590万ドルを盗み出した。当初の報道では、この事件は1inchエクスプロイトによるものとされていたが、プロトコル側は侵害はなく、ユーザー資金への影響もなかったと明らかにした。
攻撃者は、プラットフォームが使用するカスタム取引システムの脆弱性を悪用し、イーサリアム(Ethereum/ETH)で1,291.16WETH約302万ドル(約4.7億円)、ラップドビットコイン(Wrapped Bitcoin/WBTC)で16.94WBTC約137万ドル(約2億円)、テザー(Tether/USDT)、USDコイン(USDCoin/USDC)はUSDTとUSDC合せて147万ドル相当(約2.3億円)の資金を引き出すことに成功。
#PeckShieldAlert @trustedvolumes has been exploited for ~$5.9M, including $3.02M $ETH,$1.37M $WBTC & 1.47M stablecoins, the exploiter has swapped the stolen funds for 2.513K $ETH pic.twitter.com/HZ1LGlZJcC
— PeckShieldAlert (@PeckShieldAlert) May 7, 2026
TtrustedVolumes、約590万ドルが悪用され、そのうち302万ドルはETH137万ドル、WBTC147万ステーブルコインと、不正行為者は盗んだ資金を251万3,000ドルに交換した。
オンチェーン調査を手掛けるPeckShield(ペックシールド)はXに関する投稿でこの脆弱性を指摘。攻撃者が既に盗んだ資金を約2,513ETHに換金したと述べている。ブロックチェーンデータによると、資金は不審な決済活動に関連付けられた新規展開のスマートコントラクトを経由して移動。しかし、入手可能なデータからは、この侵害はほとんどの個人トレーダーが使用する標準的な1inch取引インターフェースではなく、バックエンドの流動性インフラに影響を与えた可能性が示唆されている。
何が起こったのか
この攻撃は、TrustedVolumesのカスタム注文決済システム、RFQ(Request for Quote)プロキシの設計上の欠陥を悪用して行われた。
⚠️ Vulnerability Analysis: 1inch market maker@trustedvolumes exploited on #ETH, resulting in an estimated loss of $5.86M
Attack Vector:
The attacker contract first called the registerAllowedOrderSigner() function to register attacker address 0xC3EB as an authorized order… pic.twitter.com/MMyHHVINbN— GoPlus Security 🚦 (@GoPlusSecurity) May 7, 2026
脆弱性分析:1インチマーケットメーカー
TrustedVolumes
ETHで悪用され、推定 586 万ドルの損失が発生しました。
攻撃ベクトル:
攻撃者のコントラクトは、最初に registerAllowedOrderSigner() 関数を呼び出して、攻撃者のアドレス 0xC3EB を承認された注文署名者として登録しました。次に、0x4112e1c 関数を呼び出し…
GoPlus Securityが公開した分析によると、攻撃者は公開されている「registerAllowedOrderSigner()」という関数を使用し、自身を正規の「注文署名者」として登録していた。この関数は、誰でも自分のアドレスを、自身が管理する取引の有効な署名者として指定できる機能だ。通常は無害だが、決済機能には別の問題があり、資金を実際に引き出すアドレスとは別のアドレスに対して認証チェックを行っていた。
攻撃者はこの脆弱性を利用して、TrustedVolumesのリゾルバーコントラクトに対して4回のドレイントランザクションを実行。このリゾルバーコントラクトは、プロキシにトークンの移動権限を既に与えていた。プロキシは毎回リゾルバーから資産を引き出し、1単位のUSDCのみを返送。その後、攻撃者は盗んだWETHをETHに変換し、すべてを自身のウォレットに送金していた。
TrustedVolumesは今回の攻撃を確認し、盗まれた資金が保管されている3つのウォレットアドレスを公開し、ハッカーに対し「バグ報奨金と双方にとって受け入れ可能な解決策」について連絡を取るよう求めた。
590万ドルという今回の攻撃額は、規模としては比較的小さい。しかし、ヘルパーコントラクトの展開、セルフサービス署名者登録の悪用、単一トランザクションにおけるメーカーと資金提供元不一致の悪用といった、技術的な高度さは、単純なバグや設定ミスとは一線を画している。
なお、1inchは、「われわれは引き続き状況を監視しており、関係する治安機関と連携して、必要に応じて積極的に支援を行っている」と述べている。
