מתקפה מתוחכמת על TrustedVolumes: האקר גונב 5.9 מיליון דולר באמצעות פגיעות בבלוקצ'יין

#1 · 09/05/2026, 18:17

ציטוט מ מערכת האתר ב 09/05/2026, 18:17

TrustedVolumes, אחת מספקיות הנזילות המרכזיות על גבי הבלוקצ'יין של את'ריום, התמודדה ביום חמישי עם מתקפה מתוחכמת שהובילה לאובדן כספים בהיקף של 5.9 מיליון דולר. הפורץ הצליח לנצל פגיעות במערכת המסחר המותאמת של הפלטפורמה ולמשוך נכסים מסוג ETH, WBTC, וכן מטבעות יציבים USDT ו-USDC.

האירוע התרחש כאשר חברת אבטחת הבלוקצ'יין Blockaid זיהתה את הניצול בזמן אמת. הכספים שנגנבו כללו 1,291 WETH, כ-16.9 WBTC, כ-206,000 USDT, וכמעט 1.27 מיליון USDC. התוקף השתמש בפגם במערכת סגירת ההזמנות המותאמת של TrustedVolumes, המכונה פרוקסי Request for Quote (RFQ).

חברת האבטחה GoPlus פרסמה ניתוח שהראה כי התוקף הצליח להירשם כ"חותם הזמנות" מורשה באמצעות פונקציה פתוחה לציבור בשם "registerAllowedOrderSigner()". פונקציה זו מאפשרת לכל אחד להגדיר את כתובתו כחותמת חוקית לעסקאות, אך בעיה במערכת סגירת ההזמנות אפשרה לתוקף לנצל זאת למשיכת כספים.

דו"ח טכני שחושף את פרטי המתקפה מציין כי התוקף ניצל את הפערים בעיצוב המערכת לביצוע ארבע עסקאות של ריקון מול החוזה של TrustedVolumes. כל עסקה כללה משיכת נכסים מהחוזה והחזרת יחידת USDC אחת בלבד, בעוד שאר הכספים נשלחו לארנקו של התוקף.

TrustedVolumes אישרה את האירוע ופרסמה כתובות ארנק שמחזיקות בכספים הגנובים. החברה פנתה להאקר בבקשה ליצור קשר בנוגע ל"באג באונטי ופתרון מוסכם", בניסיון לשחזר את הכספים האבודים.

בזמן שהפלטפורמה 1inch מתרחקת מהאירוע, חשוב לציין כי הפריצה לא השפיעה על כספים של משתמשים ב-1inch, ו-TrustedVolumes פועלת באופן עצמאי במספר פלטפורמות. האירוע החשוב הזה מתרחש בתקופה מאתגרת במיוחד עבור מערכת ה-DeFi, עם גניבות רבות בשווי מיליוני דולרים בחודשים האחרונים.

השאלה המרכזית שנותרת פתוחה היא כיצד ניתן למנוע התקפות מתוחכמות כאלו בעתיד, ומהם הצעדים שעל תעשיית ה-DeFi לנקוט כדי לחזק את מערכות האבטחה שלה. האם לדעתכם יש צורך בשינוי משמעותי במבנה הפלטפורמות או בשיפור תהליכי הבדיקה והאימות שלהן? שתפו את מחשבותיכם.

TrustedVolumes, אחת מספקיות הנזילות המרכזיות על גבי הבלוקצ'יין של את'ריום, התמודדה ביום חמישי עם מתקפה מתוחכמת שהובילה לאובדן כספים בהיקף של 5.9 מיליון דולר. הפורץ הצליח לנצל פגיעות במערכת המסחר המותאמת של הפלטפורמה ולמשוך נכסים מסוג ETH, WBTC, וכן מטבעות יציבים USDT ו-USDC.

האירוע התרחש כאשר חברת אבטחת הבלוקצ'יין Blockaid זיהתה את הניצול בזמן אמת. הכספים שנגנבו כללו 1,291 WETH, כ-16.9 WBTC, כ-206,000 USDT, וכמעט 1.27 מיליון USDC. התוקף השתמש בפגם במערכת סגירת ההזמנות המותאמת של TrustedVolumes, המכונה פרוקסי Request for Quote (RFQ).

חברת האבטחה GoPlus פרסמה ניתוח שהראה כי התוקף הצליח להירשם כ"חותם הזמנות" מורשה באמצעות פונקציה פתוחה לציבור בשם "registerAllowedOrderSigner()". פונקציה זו מאפשרת לכל אחד להגדיר את כתובתו כחותמת חוקית לעסקאות, אך בעיה במערכת סגירת ההזמנות אפשרה לתוקף לנצל זאת למשיכת כספים.

דו"ח טכני שחושף את פרטי המתקפה מציין כי התוקף ניצל את הפערים בעיצוב המערכת לביצוע ארבע עסקאות של ריקון מול החוזה של TrustedVolumes. כל עסקה כללה משיכת נכסים מהחוזה והחזרת יחידת USDC אחת בלבד, בעוד שאר הכספים נשלחו לארנקו של התוקף.

TrustedVolumes אישרה את האירוע ופרסמה כתובות ארנק שמחזיקות בכספים הגנובים. החברה פנתה להאקר בבקשה ליצור קשר בנוגע ל"באג באונטי ופתרון מוסכם", בניסיון לשחזר את הכספים האבודים.

בזמן שהפלטפורמה 1inch מתרחקת מהאירוע, חשוב לציין כי הפריצה לא השפיעה על כספים של משתמשים ב-1inch, ו-TrustedVolumes פועלת באופן עצמאי במספר פלטפורמות. האירוע החשוב הזה מתרחש בתקופה מאתגרת במיוחד עבור מערכת ה-DeFi, עם גניבות רבות בשווי מיליוני דולרים בחודשים האחרונים.

השאלה המרכזית שנותרת פתוחה היא כיצד ניתן למנוע התקפות מתוחכמות כאלו בעתיד, ומהם הצעדים שעל תעשיית ה-DeFi לנקוט כדי לחזק את מערכות האבטחה שלה. האם לדעתכם יש צורך בשינוי משמעותי במבנה הפלטפורמות או בשיפור תהליכי הבדיקה והאימות שלהן? שתפו את מחשבותיכם.