Nhà cung cấp thanh khoản cho 1inch bị hack, thiệt hại 5,87 triệu USD

Hệ sinh thái DeFi tiếp tục rung chuyển khi một nhà cung cấp thanh khoản liên quan đến 1inch vừa trở thành mục tiêu của một cuộc tấn công đang diễn ra, gây thiệt hại hàng triệu USD và làm dấy lên thêm lo ngại về làn sóng hack ngày càng gia tăng trong năm 2026.

Theo báo cáo từ công ty bảo mật blockchain Blockaid, nhà tạo lập thị trường và cung cấp thanh khoản TrustedVolumes đã bị khai thác lỗ hổng khiến khoảng 5,87 triệu USD tài sản bị rút khỏi hệ thống. Thông tin được công bố trên nền tảng mạng xã hội X, trong đó Blockaid cho biết cuộc tấn công nhắm trực tiếp vào “resolver contract” của TrustedVolumes trên mạng Ethereum.

Số tài sản bị đánh cắp bao gồm 1.291,16 WETH, 206.282 USDT, 16,939 WBTC và 1.268.771 USDC. Đây đều là những tài sản thanh khoản cao, thường được sử dụng trong hoạt động giao dịch DeFi, cho thấy kẻ tấn công có mục tiêu rõ ràng và khả năng khai thác chuyên sâu.

Blockaid nhận định thủ phạm đứng sau vụ việc lần này rất có thể là cùng một thực thể đã thực hiện vụ hack 1inch Fusion V1 vào tháng 3/2025, từng gây thất thoát khoảng 5 triệu USD. Tuy nhiên, điểm đáng chú ý là phương thức tấn công lần này khác biệt: thay vì khai thác lỗ hổng cũ, hacker tận dụng một điểm yếu mới liên quan đến cơ chế proxy swap RFQ tùy chỉnh do TrustedVolumes kiểm soát. Điều này cho thấy nhóm tấn công đang liên tục theo dõi và nghiên cứu các hệ thống DeFi để tìm ra các điểm yếu mới.

Đến ngày hôm sau, TrustedVolumes chính thức xác nhận sự cố và cập nhật tổng thiệt hại đã tăng lên khoảng 6,7 triệu USD. Đơn vị này cho biết đang cân nhắc triển khai chương trình bug bounty nhằm khuyến khích cộng đồng bảo mật hỗ trợ truy vết và khắc phục lỗ hổng, một chiến lược ngày càng phổ biến trong ngành DeFi nhằm giảm thiểu rủi ro và phục hồi niềm tin người dùng.

Trong khi đó, phía 1inch đã nhanh chóng đưa ra thông báo trấn an cộng đồng rằng sự cố không ảnh hưởng đến hệ thống, cơ sở hạ tầng hay tài sản người dùng của nền tảng. 1inch nhấn mạnh TrustedVolumes hoạt động độc lập và cung cấp thanh khoản cho nhiều giao thức khác nhau trong ngành, không phải đối tác độc quyền của 1inch. Dù vậy, dự án vẫn đang phối hợp chặt chẽ với các đơn vị bảo mật để theo dõi diễn biến và hỗ trợ khi cần thiết.

Vụ việc diễn ra trong bối cảnh các cuộc tấn công vào lĩnh vực tài chính phi tập trung đang gia tăng mạnh. Chỉ trong tháng trước, thị trường đã chứng kiến hàng loạt vụ hack gây chấn động, bao gồm vụ tấn công social engineering trị giá 285 triệu USD nhắm vào Drift và vụ khai thác trị giá 293 triệu USD nhằm vào Kelp DAO. Dữ liệu từ DefiLlama cho thấy riêng tháng 4 đã ghi nhận tổng cộng 635,2 triệu USD bị đánh cắp từ các vụ hack và exploit — mức cao nhất kể từ tháng 2/2025, thời điểm sàn Bybit từng bị hacker rút gần 1,5 tỷ USD.