TrustedVolumes verliest $6,7 miljoen bij grote crypto-hack

TrustedVolumes, een liquiditeitsverschaffer binnen de DeFi-sector, is slachtoffer geworden van een crypto-hack waarbij ongeveer 6,7 miljoen dollar aan digitale tegoeden werd buitgemaakt. DeFi staat voor decentralized finance, oftewel financiële diensten zoals leningen en handel die zonder tussenkomst van banken op blockchains draaien. Een liquiditeitsverschaffer is een partij die crypto beschikbaar stelt aan handelaars en daarvoor een vergoeding ontvangt.

Volgens beveiligingsbedrijven misbruikten de hackers zwakke plekken in de infrastructuur van het platform. De aanval vond plaats op de Ethereum-blockchain en werd ontdekt door blockchainbeveiliger Blockaid.

Hack trof belangrijk DeFi-contract

Volgens Blockaid richtte de aanval zich op een zogenoemde resolver van TrustedVolumes. Dat is een systeemonderdeel dat transacties en liquiditeit verwerkt voor verschillende DeFi-platforms.

De hacker maakte volgens de eerste analyses 1.291 Wrapped Ethereum (WETH), 206.282 USDT, 16,93 Wrapped Bitcoin (WBTC) en 1,26 miljoen USDC buit. Wrapped Ethereum en Wrapped Bitcoin zijn versies van Ethereum (ETH) en Bitcoin (BTC) die zijn aangepast om binnen andere blockchains te functioneren. USDT en USDC zijn stablecoins, oftewel digitale munten waarvan de waarde gekoppeld is aan de Amerikaanse dollar.

TrustedVolumes bevestigde de hack kort daarna en publiceerde meerdere walletadressen waar de gestolen crypto naartoe werd verplaatst.

Kwetsbaarheid in swapsoftware was de oorzaak

De oorzaak van de aanval lag volgens beveiligingsbedrijf Cyvers in meerdere fouten binnen een aangepaste RFQ-swapproxy van TrustedVolumes. Een RFQ-swapproxy, oftewel een request-for-quote-swapproxy, is software die handelaren helpt om crypto snel tegen een afgesproken prijs te wisselen.

Door fouten in de beveiliging kon de aanvaller zich voordoen als een vertrouwde gebruiker van het systeem. Hierdoor werden transacties goedgekeurd zonder geldige toestemming van de eigenaar van de tegoeden.

Volgens Hakan Unal van Cyvers ontbrak onder meer goede replay-beveiliging, waardoor transacties onvoldoende werden gecontroleerd. Replay-beveiliging zorgt dat een eenmaal goedgekeurde transactie niet opnieuw kan worden gebruikt door een aanvaller.

“De schade had nog veel groter kunnen zijn”, aldus Unal. “De aanvaller had mogelijk meerdere accounts opnieuw kunnen leegtrekken.”

Gestolen crypto verplaatst via ChangeNow

Na de aanval werden de gestolen tegoeden verplaatst via ChangeNow, een cryptoplatform waar geen uitgebreide identiteitscontrole vereist is. Vervolgens werden de tegoeden grotendeels omgezet naar Ethereum.

TrustedVolumes liet weten open te staan voor communicatie met de hacker over een mogelijke bug bounty of regeling om een deel van de tegoeden terug te krijgen. Een bug bounty is een vergoeding die bedrijven aanbieden aan hackers die kwetsbaarheden ontdekken en deze melden in plaats van misbruiken.

Link met eerdere 1inch-hack

Volgens TrustedVolumes lijkt dezelfde hacker verantwoordelijk voor een eerdere aanval op 1inch Fusion V1 in maart 2025. Ook toen werd gebruikgemaakt van een kwetsbaarheid in software die door TrustedVolumes werd beheerd.

DeFi-aggregator 1inch reageerde snel op de berichtgeving en benadrukte dat het eigen protocol niet is geraakt. “We kunnen bevestigen dat geen enkel 1inch-systeem of gebruikerstegoed betrokken is bij dit incident”, verklaarde het bedrijf via sociale media. Volgens 1inch bleef het platform normaal functioneren omdat meerdere liquiditeitsverschaffers tegelijk actief zijn binnen het netwerk.