1inch dementiert Breach: TrustedVolumes-Exploit über $6,7M

Ein TrustedVolumes-Exploit hat $6,7 Millionen aus dem unabhängigen DeFi-Market-Maker abgezogen, der als Resolver innerhalb der Swap-Infrastruktur von 1inch agiert. Der Diebstahl ereignete sich am Donnerstag inmitten hitziger Schuldzuweisungen darüber, wer genau die Verantwortung trägt — und die Antwort ist durchaus relevant dafür, wie man Drittanbieter-Risiken im dezentralen Handel einschätzt.

Was ist beim TrustedVolumes-Exploit passiert?

Der Angriff wurde in Echtzeit von Blockaid entdeckt, einer Web3-Sicherheitsfirma, deren Exploit-Erkennungssystem ungewöhnliche Aktivitäten im Zusammenhang mit der von TrustedVolumes kontrollierten Swap-Infrastruktur auf Ethereum meldete. Blockaid schätzte die Verluste zunächst auf $5,87 Millionen — bestehend aus Wrapped Ether, USDT, Wrapped Bitcoin und USDC. Die endgültige Summe fiel höher aus.

TrustedVolumes bestätigte den Vorfall später in einem X-Post und gab an, dass rund $6,7 Millionen auf drei Wallets verteilt wurden. Zwei Adressen enthielten jeweils etwa $3 Millionen; eine dritte rund $700.000. Der Market Maker erklärte sich offen für „konstruktive Kommunikation" und eine Bug-Bounty-Vereinbarung — das mittlerweile ritualisierte Standardangebot als erster Schritt bei DeFi-Exploits.

Laut der Blockchain-Sicherheitsfirma CertiK verschaffte sich der Angreifer Zugang über eine öffentliche Funktion, die es jedem ermöglichte, sich als autorisierter Auftragssignierer in den TrustedVolumes-eigenen Smart Contracts zu registrieren. Einmal registriert, nutzte er diese Berechtigung, um Swap-Aufträge auszuführen, die Gelder direkt an vom Angreifer kontrollierte Adressen leiteten. Ein vergleichsweise sauberer Angriff — keine Flashloan-Akrobatik, keine Oracle-Manipulation. Nur eine Berechtigungstür, die nicht hätte offen stehen dürfen.

Es fehlt uns generell an Sicherheit. Blockchains bieten einfach eine sofortige Auszahlung. Wir müssen Notausschaltern, Monitoring und Sicherheitsmechanismen mehr Aufmerksamkeit schenken.

1inch sagt, es sei nicht ihr Problem — ist das gerechtfertigt?

1inch distanzierte sich umgehend von dem Vorfall. In einem Post auf X erklärte die Börse, Berichte, die sie direkt mit dem TrustedVolumes-Diebstahl in Verbindung brachten, seien „irreführend", und dass „weder 1inch noch eines der 1inch-Protokolle involviert" seien. Nutzergelder und die Plattforminfrastruktur seien unangetastet geblieben, so das Unternehmen.

Mitgründer Sergej Kunz ging noch weiter und erklärte, dass die Architektur des 1inch Fusion Resolver auf einem Netzwerk unabhängiger Drittanbieter-Resolver basiert, die im Wettbewerb um die Ausführung von Swap-Aufträgen für Nutzer stehen. TrustedVolumes ist einer von vielen solcher Resolver — kein 1inch-eigenes Unternehmen. „Es stimmt zwar, dass 1inch TrustedVolumes als Resolver nutzt, aber wir sind einer von vielen", sagte Kunz.

Kunz bezeichnete die Darstellung als „1inch-Hack" als „verwirrend und schädlich". Und technisch gesehen hat er recht. Aber technisch richtig bedeutet nicht, dass es Nutzer nicht kümmern sollte. Wenn ein Resolver, der Ihre Swap-Aufträge verarbeitet, ausgeräumt wird — und derselbe Resolver bereits im März 2025 ein identisches Exploit-Muster aufwies —, ist die Frage, ob 1inch die Teilnehmer seines Resolver-Netzwerks überprüft, durchaus berechtigt, selbst wenn die Kernverträge sauber sind.

Es stimmt zwar, dass 1inch TrustedVolumes als Resolver nutzt, aber wir sind einer von vielen.

Derselbe Angreifer hat das schon einmal getan

Das ist der Aspekt, der mehr Aufmerksamkeit verdient. Sowohl Blockaid als auch der Sicherheitsforscher Vladimir Sobolev bestätigten, dass der Angriff vom selben Akteur durchgeführt wurde, der hinter dem Angriff auf 1inch Fusion V1-Resolver im März 2025 steckt. Damals ermittelte SlowMist gestohlene Vermögenswerte in Höhe von rund $5 Millionen, hauptsächlich USDC und Wrapped Ether. 1inch und der betroffene Resolver einigten sich schließlich mit dem Angreifer auf ein Bug-Bounty-Abkommen, woraufhin dieser den Großteil der Mittel zurückgab. Fall abgeschlossen — so schien es zumindest.

Nun ist dieselbe Wallet zurück und nutzt eine andere Schwachstelle in derselben Kategorie von Infrastruktur. Blockaid betonte, dass die beiden Angriffe unterschiedliche Sicherheitslücken ausnutzten — es handelte sich nicht um eine Wiederholung eines ungepatchten Bugs. Aber das Muster lässt sich schwer ignorieren. Ein Bedrohungsakteur, der bereits einmal 1inch-nahe Resolver angegriffen hat, Gelder im Rahmen eines ausgehandelten Deals zurückgab und dann sechs Wochen später dieselbe Zielkategorie erneut attackiert, ist kein White Hat in einem schwachen Moment. Dieses Profil verdient genauere Untersuchung.

Sobolev erklärte gegenüber Reportern, es bestehe „kein Risiko für 1inch-Nutzer" durch den aktuellen Vorfall, war aber deutlicher hinsichtlich des systemischen Problems: „Es fehlt uns generell an Sicherheit. Blockchains bieten einfach eine sofortige Auszahlung." Sein Kommentar verwies auf die größere Kluft zwischen der Geschwindigkeit, mit der DeFi Gelder verlieren kann, und der Langsamkeit, mit der die Branche sich in Richtung Echtzeit-Notausschalter, Monitoring und Sicherheitsmechanismen bewegt. Diese Art von DeFi-Sicherheitsrisiko ist nicht einzigartig für TrustedVolumes — es ist dem gesamten Resolver-Modell inhärent.

Der Vorfall spiegelt auch ein Muster wider, das andernorts im DeFi-Ökosystem zu beobachten ist, wo Exploits auf Protokollebene in der dezentralen Finanzwelt wiederholt dieselben strukturellen Schwächen offenlegen. Wenn Drittanbieter-Infrastrukturanbieter eigene Smart Contracts neben einem Kernprotokoll bereitstellen, vergrößert sich die Angriffsfläche auf Weisen, die für Endnutzer nicht immer sichtbar sind.

Kein Risiko für 1inch-Nutzer.

Was bedeutet das für das DeFi-Resolver-Risiko?

Die weiterreichende Implikation ist eine, auf die die DeFi-Branche immer wieder stößt: Modulare Architektur schafft modulare Angriffsflächen. Wenn Protokolle wie 1inch die Auftragsausführung an ein wettbewerbsorientiertes Resolver-Netzwerk auslagern, gewinnen sie Effizienz und Zensurresistenz. Was sie verlieren, ist eine einheitliche Sicherheitsverantwortung. TrustedVolumes agiert unabhängig über mehrere Protokolle hinweg — nicht nur über 1inch. Das bedeutet: Das $6,7-Millionen-Problem gehört TrustedVolumes, aber der Reputationsschaden zieht sich nach oben durch.

Für Nutzer lautet die unmittelbare Erkenntnis: „Ihre Gelder sind sicher" ist in DeFi eine bedingte Aussage. Sicher wovor? Die 1inch-Kernverträge wurden hier nicht angerührt. Aber wenn Sie zufällig einen laufenden Swap hatten, der im falschen Moment über TrustedVolumes ausgeführt wurde, könnte das Bild anders aussehen. Das breitere Muster von DeFi-Schwachstellen, die Nutzer über Drittanbieter-Integrationen betreffen, sollte jeder im Blick behalten, der Vermögenswerte in dezentralen Protokollen hält.

TrustedVolumes hat Verhandlungsbereitschaft signalisiert. Ob der Angreifer — der bereits im März 2025 eine Auszahlung kassierte und im Mai 2026 zurückkam — ein zweites Bug Bounty als attraktiv empfindet, steht auf einem anderen Blatt.