1
Ein Angriff auf einen Liquiditätsanbieter im 1inch-Umfeld zeigt einmal mehr, wie empfindlich die Infrastruktur hinter dezentralem Handel sein kann. TrustedVolumes, ein Market Maker und Liquidity Provider für den DEX-Aggregator, soll durch einen laufenden Exploit fast 6 Millionen Dollar verloren haben.
Angriff trifft Resolver Contract auf Ethereum
Nach Angaben der Blockchain-Sicherheitsfirma Blockaid betrifft der Exploit einen Resolver Contract von TrustedVolumes auf Ethereum.
Solche Resolver sind keine Oberfläche, die normale Trader bewusst anklicken. Sie arbeiten eher im Maschinenraum des DeFi-Handels: Sie helfen dabei, Orders auszuführen, Liquidität bereitzustellen und bestimmte Swap-Flows effizient abzuwickeln.
Genau deshalb ist der Vorfall relevant. Wenn ein normaler Nutzervertrag angegriffen wird, betrifft das meist eine einzelne Anwendung oder eine begrenzte Nutzergruppe.
Wenn aber ein Resolver, ein RFQ-System oder ein Market-Maker-Proxy fehlerhaft ist, kann der Schaden schnell dort entstehen, wo viel Liquidität für schnelle Ausführung bereitliegt.
Der bisher gemeldete Schaden liegt bei rund 5,87 Millionen Dollar. Abgezogen wurden laut Blockaid 1.291,16 WETH, 206.282 USDT, 16,939 WBTC und 1.268.771 USDC. Diese Zusammensetzung sagt einiges über die Rolle von TrustedVolumes.
Market Maker halten nicht nur einen Token, sondern verschiedene liquide Assets, damit Swaps schnell und zu möglichst guten Preisen ausgeführt werden können. Im normalen Betrieb ist das nützlich. Bei einem Exploit wird genau diese Liquiditätsbreite zur Angriffsfläche.
Für Trader bleibt solche Infrastruktur meistens unsichtbar. Sie sehen eine Quote, bestätigen eine Transaktion und erwarten, dass der Swap funktioniert.
Dahinter laufen aber mehrere Schichten: Aggregator, Resolver, Liquiditätsanbieter, Proxy-Verträge, Signaturen und Ausführungslogik. Je komplexer diese Schichten werden, desto mehr Stellen gibt es, an denen ein Fehler teuer werden kann.
Blockaid sieht Verbindung zu früherem 1inch-Fusion-Angriff
Blockaid erklärte außerdem, der Angreifer sei dieselbe Entität, die bereits im März 2025 den Exploit von 1inch Fusion V1 durchgeführt habe. Damals wurden rund 5 Millionen Dollar abgezogen.
Diese Verbindung macht den Fall unangenehmer, weil sie auf einen Angreifer hindeutet, der die Ausführungslogik rund um 1inch-nahe Systeme offenbar gut kennt.
Der aktuelle Angriff soll allerdings nicht dieselbe Schwachstelle nutzen. Laut Blockaid hängt der neue Vorfall mit einer anderen Vulnerability zusammen, die einen von TrustedVolumes kontrollierten Custom-RFQ-Swap-Proxy betrifft.
RFQ steht für Request for Quote. Dabei werden Handelsangebote nicht einfach über einen öffentlichen Pool gezogen, sondern über spezialisierte Liquiditätsanbieter oder direkte Quotes abgewickelt.
RFQ-Systeme können bessere Ausführung bringen, gerade bei größeren Orders oder fragmentierter Liquidität. Sie machen den Handel aber auch stärker abhängig von zusätzlicher Infrastruktur.
Ein Custom Proxy, der falsch konfiguriert ist oder eine unerwartete Schwachstelle enthält, kann dann zu einem direkten Zugangspunkt für Angreifer werden.
Für 1inch und verbundene Anbieter ist der Fall deshalb mehr als ein isolierter Sicherheitsvorfall. Er zeigt, wie anspruchsvoll DeFi-Ausführungslogik inzwischen geworden ist.
Aggregatoren wollen bessere Preise liefern, Market Maker wollen effiziente Liquidität bereitstellen, Nutzer wollen schnelle Swaps ohne Reibung. All das führt zu mehr Automatisierung und mehr Vertragslogik im Hintergrund.
Der Preis dafür ist ein höherer Prüfaufwand. Resolver, RFQ-Proxys und Market-Maker-Verträge müssen nicht nur einmal auditiert werden, sondern laufend überwacht, begrenzt und mit klaren Notfallmechanismen versehen sein.
Denn wenn diese Infrastruktur versagt, trifft es nicht eine abstrakte Komponente. Es trifft sofort echte Vermögenswerte, oft in Millionenhöhe.
